O que é o malvertising?

O malvertising é uma ciberameaça que recorre a anúncios publicitários para disseminar malware pela internet. O termo provém das palavras “malicious” e “advertising” que significam, em inglês, publicidade maliciosa.

Cuidado com os anúncios nos quais clica na internet! Poderão ser anúncios falsos, concebidos não para lhe vender um produto ou serviço mas para instalar vírus e malware no seu telemóvel ou computador. Nalguns casos, como veremos em seguida, nem sequer é preciso clicar; basta “ver” os anúncios!

O que significa malware?

Malware é um termo genérico para qualquer tipo de software malicioso concebido para aceder a qualquer computador, rede informática, software ou similar. Cibercriminosos recorrem a malware para os mais diversos crimes, como a extração de dados pessoais das vítimas para conseguir ganhos financeiros à custa delas.

O seu computador, tablet ou smartphone pode ter sido infetado com malware sem que se aperceba; porém, poderão existir sinais suspeitos, como anúncios pop-up que continuam a aparecer insistentemente, e a que se deve estar atento.

Um ataque de malvertising pode assumir diferentes formas; o que é comum a todas é o facto de usarem publicidade como forma de engodo.

O ciberatacante começa por criar um anúncio persuasivo e credível, e que contém linhas de código malicioso escondidas. Depois, exibem o anúncio no seu site ou, pior ainda, num portal perfeitamente legítimo. Quando a vítima clica no anúncio, é encaminhada para um servidor controlado pelo hacker, a partir do qual o resto do ataque é lançado.

Ainda que você já saiba bem o que é um burlas online, não assuma que um site é seguro só porque confia no site que está a mostrá-lo! Tem sido encontrado malvertising nos portais mais credíveis e respeitados, como o site do jornal New York Times ou até no Spotify. Quando mais prestígio tiver a marca, mais baixam as nossas “defesas” instintivas contra manobras maliciosas; mais fácil é, portanto, cairmos numa armadilha. Os golpes online tornam-se cada vez mais sofisticados.

Existem duas grandes categorias de malvertising, que se distinguem pelo método de distribuição de malware:

• Pré-clique
• Pós-clique

Normalmente pensa-se que os anúncios maliciosos só são perigosos se clicarmos neles. Contudo, os “ads” mais avançados conseguem contornar alguns bloqueadores de anúncios ou descarregar malware automaticamente só por acedermos ao respetivo site. Chama-se a esta técnica o “rive-by-downloading”, contra a qual é difícil defender-se.

Outros anúncios podem ser programados para ativar um autorredirecionamento, enviando o utilizador para uma nova página e forçando o seu aparelho a ligar-se ao servidor do atacante.

O pós-clique, mais habitual e conhecido, é igualmente perigoso. Ficaram célebres, nos primeiros tempos da internet, os “ads” de malvertising pós-clique que acionavam uma torrente de imagens pornográficas, para grande embaraço do utilizador se estivesse no local de trabalho ou num sítio com outras pessoas. Se o atacante conseguir convencê-lo a clicar num anúncio, ficará imediatamente em risco.

Ao clicar num anúncio e/ou ao ser redirecionado para outra página “à força”, começa a próxima fase do ataque.

O servidor ao qual se irá ligar contém um “exploit kit”, concebido para explorar o seu sistema e detetar pontos fracos. Assim que encontrar uma vulnerabilidade no seu browser ou no sistema operativo, instalará o resto do conjunto do malware. A partir daí, o hacker poderá fazer praticamente o que quiser:

• roubo de dados pessoais, para posterior lançamento de ataques de credential stuffing ou para elaboração de bases de dados gigantes para venda na Dark Web a outros cibercriminosos;
• ataques de ransomware ou extorsão, exigindo o pagamento de um resgate à vítima em troca do restabelecimento do computador ou da devolução de informação roubada;
• cibervandalismo ou o prazer da destruição, geralmente causado por hackers adolescentes ou sem outros motivos que não os de criar confusão;
• Etc.

Além das duas categorias já mencionadas, existem diferentes tipos de malvertising:

• Esteganografia: códigos maliciosos escondidos em imagens, praticamente impercetíveis;
• Imagens poliglotas: indo além da esteganografia, estas imagens incorporam scripts para lançar ataques;
• Golpes de apoio técnico, que induzem a vítimas a telefonar para números fraudulentos;
• Scareware: assusta a vítima mas, em vez de levá-la a telefonar, leva-a a descarregar um software supostamente para resolver o problema, quando na verdade é esse download que constitui o vírus;
• Esquemas de enriquecimento rápido, incitando o utilizador a clicar;
• Atualizações de softwares falsas, persuadindo o utilizador a instalar malware. As atualizações devem sempre ser feitas por indicação do fabricante.

Como referimos, o malvertising potencialmente mais eficaz é aquele se esconde por trás de marcas credíveis e de grande porte. Recordemos três exemplos relativamente recentes:

• Ataque Covid-19 (2020): Malvertising com conselhos falsos sobre a doença, apontando a utilizadores do Microsoft Internet Explorer, totalmente desatualizado e vulnerável;
• Ataque VeryMal (2019): direcionado a utilizadores de Mac, usando esteganografia para instalar o cavalo de Troia Shyler;
• Ataque AdGholas (2016): um anúncio falso de software de privacidade que afetou o Yahoo, o MSN e outras marcas, explorando vulnerabilidades no Flash.

Sendo o malvertising a exibição de anúncios, a resposta a esta questão é semelhante à da questão “como remover vírus?”. A única solução passa por ter um antivírus poderoso, capaz de inspecionar os seus aparelhos e/ou o conjunto da sua rede. O antivírus ajudará a remover malware do smartphone, do computador e demais dispositivos, quer tenham chegado através de malvertising ou por outro método.

Porém, como sempre acontece em questões de cibersegurança e na vida em geral, lá diz o ditado: “prevenir é melhor que remediar”. É muito mais fácil e eficaz protegermo-nos contra um ataque de malvertising do que tentar solucionar a questão depois de acontecer.

Infelizmente, não existem muitos caminhos “à prova de bala” para evitar esta ciberameaça. Como vimos acima, alguns anúncios maliciosos do tipo pré-clique conseguem contornar até as ferramentas de “ad blocking”. O ideal é adotar uma estratégia múltipla, tentando cobrir o máximo de situações e cenários. Vejamos os principais:

• Bloqueador de anúncios. Pode não ser 100% eficaz, mas reduz significativamente o risco, e quando lidamos com questões de segurança o melhor que podemos fazer é mesmo isso: melhorar as nossas probabilidades e reduzir as do inimigo. A funcionalidade Proteção contra Ameaças da NordVPN bloqueia sites perigosos e reduz anúncios indesejados, contribuindo para uma experiência de navegação mais rápida e segura.
• De resto, a própria VPN ajudará a mantê-lo mais protegido em geral, ao criar uma camada de encriptação em torno das suas comunicações. Isso poderá tornar mais difícil, a terceiros, inspecionar as suas atividades e, em função dos seus comportamentos habituais, classificá-lo como possível alvo de uma campanha de malvertising.
• Software antivírus. Este instrumento é o equivalente a um extintor; é bom ter um à mão numa situação de emergência, sendo ótimo para limitar os danos causados por malvertising. Proteja o seu aparelho e atualize o programa sempre que necessário.
• Atualizações de software. Não é só o antivírus que deve ser atualizado; todos os seus programas e aplicações devem sê-lo. Quando um “exploit kit” procura vulnerabilidades, encontra-las-á mais facilmente em software desatualizado. É por isso que é tão importante resistir à tentação de clicar em “lembrar mais tarde” em vez de instalar a atualização logo que é sugerida.
• Navegador seguro. Os melhores browsers incluem o seu próprio ad blocker, que poderá trabalhar em conjunto com o da Proteção Contra Ameaças. Navegadores modernos e mais focados na privacidade do utilizador tenderão também a ser um pouco menos permeáveis a manobras de malvertising, no geral.
• Desligar o auto-play. Vá ao seu browser e desligue a função autoplay. Desta forma, quaisquer conteúdos baseados em vídeo deixarão de ser automaticamente ativados. É uma forma simples de evitar o drive-by-downloading e, também, de tornar a sua navegação um pouco mais rápida! Pode parecer prático ter o seu navegador a iniciar automaticamente vídeos que estejam disponíveis, mas será mesmo necessário? Não será mais uma distração?
• Desconfie, seja cético. A maioria do malvertising continua a ser pós-clique, pelo que a forma mais simples de evitar tais ameaças é sobretudo evitar tais anúncios. Pare e pense antes de reagir a anúncios que pareçam muito agressivos ou sensacionalistas. Os anúncios maliciosos recorrem geralmente às emoções fortes e ao despertar de uma sensação de urgência no potencial “comprador”. Abrande e pergunte-se se “será mesmo como dizem” e se valerá mesmo a pena clicar.