Google Ads

O uso de anúncios patrocinados no Google, embora legítimo, também é uma porta de entrada para fraudes digitais. Cibercriminosos utilizam a plataforma Google Ads para exibir anúncios que imitam marcas conhecidas, levando usuários desavisados a clicar em links maliciosos. Essa prática, conhecida como ’typosquatting’, envolve a criação de URLs que se assemelham a endereços legítimos, mas que contêm erros sutis, como letras trocadas. Os hackers empregam técnicas como o ‘cloaking’ para enganar tanto os usuários quanto os mecanismos de busca, mostrando conteúdos diferentes para cada um. Para se proteger, é essencial que os usuários verifiquem a autenticidade dos links, evitem clicar em anúncios para serviços críticos e utilizem métodos como digitar diretamente a URL no navegador. O artigo destaca a importância de estar alerta a sinais de urgência em anúncios, que podem indicar tentativas de induzir ações precipitadas. Com a crescente sofisticação dos golpes online, a conscientização e a vigilância são fundamentais para evitar cair em armadilhas digitais.

Especialistas da Varonis descobriram uma plataforma criminosa chamada ‘1Campaign’, que tem operado nos últimos três anos, permitindo que hackers realizem fraudes com o Google Ads. A plataforma é descrita como um ‘disfarce’, pois permite que os criminosos exibam conteúdos diferentes para visitantes e provedores de anúncios. Enquanto as vítimas veem materiais de phishing, os anunciantes legítimos visualizam apenas uma página em branco, o que dificulta a detecção das fraudes.

Além da camuflagem, o 1Campaign oferece ferramentas como análises em tempo real, criação de perfis de visitantes e bloqueio de tráfego de fornecedores. Os hackers podem direcionar anúncios com base no endereço IP e atribuir uma pontuação de fraude aos visitantes, variando de 0 a 100. A plataforma permite que campanhas fraudulentas sejam veiculadas por longos períodos, com maior incidência de anúncios maliciosos em países como EUA, Holanda, Canadá e Japão.

Um novo serviço de cibercrime chamado 1Campaign está permitindo que criminosos cibernéticos executem anúncios maliciosos no Google que permanecem online por longos períodos, evitando a detecção de pesquisadores de segurança. O 1Campaign é um serviço de camuflagem que passa pelo processo de triagem do Google, mostrando conteúdo malicioso apenas para vítimas reais, enquanto pesquisadores e scanners automáticos são redirecionados para páginas inofensivas. A operação, que está ativa há pelo menos três anos, é gerida por um desenvolvedor conhecido como ‘DuppyMeister’. O sistema filtra visitantes em tempo real, direcionando o tráfego para páginas de destino com base em critérios como geografia e características do dispositivo. Em um caso, 99,4% dos visitantes foram bloqueados, resultando em uma taxa de sucesso de apenas 0,6%. O 1Campaign também oferece uma ferramenta para lançar campanhas maliciosas e benignas, permitindo que os operadores contornem as limitações das políticas do Google. Apesar das várias salvaguardas implementadas pelo Google, a plataforma ainda é utilizada para promover fraudes e malware, destacando a necessidade de vigilância contínua e práticas de segurança rigorosas.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.