Uma nova campanha de malvertising está utilizando anúncios falsos no Google para enganar usuários e roubar credenciais de contas da plataforma de publicidade da Microsoft. O ataque foi identificado por pesquisadores de segurança, que alertaram sobre a criação de páginas de phishing altamente convincentes destinadas a capturar informações de login e códigos de autenticação em dois fatores (2FA). Os criminosos digitais compram anúncios patrocinados no Google para exibir links fraudulentos a usuários que pesquisam termos como “Microsoft Ads”.

Quando a vítima clica no link, é redirecionada para um site idêntico ao legítimo, mas controlado pelos atacantes. A página captura as credenciais do usuário, permitindo que os invasores tomem o controle da conta publicitária da Microsoft e potencialmente desviem fundos ou utilizem as contas comprometidas para espalhar novas campanhas maliciosas. Além disso, os golpistas implementaram técnicas avançadas para evitar detecção por ferramentas de segurança. Uma dessas táticas envolve redirecionar usuários que acessam os links por meio de VPNs para um site de marketing genérico, impedindo que pesquisadores e sistemas de defesa analisem facilmente o golpe.

Para dificultar ainda mais a identificação do ataque, os criminosos também utilizam desafios do Cloudflare, que filtram acessos automatizados e dificultam a análise da infraestrutura maliciosa. Outra estratégia curiosa observada pelos especialistas é que, caso um usuário tente acessar diretamente o domínio malicioso “ads.mcrosoftt[.]com”, ele será redirecionado para um famoso vídeo do meme “Rickroll” no YouTube. Essa tática provavelmente serve para despistar analistas de segurança e dificultar a investigação do golpe. A campanha também parece estar ativa há anos, com indícios de que os criminosos já utilizaram infraestruturas semelhantes para atacar usuários da plataforma de anúncios do Google e possivelmente do Meta.