Vídeo: Work has gone Google (Outubro 2024)
Se você estava lendo o Los Angeles Times, o New York Times, o Washington Post ou o Huffington Post ontem usando o Chrome, pode ter visto uma mensagem de site bloqueado informando que o site pode estar com malware.
Na segunda-feira, alguns usuários do Chrome que estavam lendo esses sites (e outros) relataram ter visto uma mensagem de erro informando que o Google havia detectado conteúdo do NetSeer, um "conhecido distribuidor de malware" na página solicitada. Se isso parecer confuso, lembre-se de que a maioria dos sites extrai regularmente conteúdo de outros sites, como s online de redes e widgets de anunciantes de terceiros.
O NetSeer é uma plataforma de publicidade online.
"O Google Chrome bloqueou o acesso a esta página em www.nytimes.com", disse o aviso do navegador. "O conteúdo do cm.netseer.com, um conhecido distribuidor de malware foi inserido nesta página da Web", afirmou. Visitar o site "muito provavelmente" infectará o computador com malware.
Na segunda-feira de manhã, o site corporativo da NetSeer foi infectado por malware. Os scanners do Google encontraram o site e adicionaram o domínio à sua lista de sites maliciosos. O Chrome usa a lista para impedir que os usuários naveguem para sites perigosos.
Para a maioria dos sites, esse seria o fim da história, exceto que a rede de publicidade da NetSeer usava o mesmo nome de domínio. Como resultado, todos os sites que usavam a plataforma de anúncios da NetSeer em qualquer lugar do site acionavam o aviso de domínio malicioso do Chrome. no Chrome como malicioso. No entanto, a plataforma de anúncios nunca foi infectada e nunca corre o risco de infectar usuários, disse um porta-voz da NetSeer.
A equipe do NetSeer limpou a infecção de sua infraestrutura de rede e trabalhou com o Google para remover o domínio da lista de sites afetados por malware.
Problema com a lista negra
Vários dos principais navegadores têm algum tipo de lista negra de domínio para proteger os usuários de sites maliciosos. O Chrome possui Navegação segura, o Internet Explorer possui o SmartScreen e o Firefox possui proteção contra phishing e malware. No entanto, esse incidente é um exemplo de como nem sempre as listas negras funcionam.
“A lista negra de domínios pode ser uma ferramenta muito grosseira para usar, o que, como resultado, criou uma interrupção onde não havia risco real”, disse George Security à estrategia de segurança George Tubin, estrategista de segurança da Trusteer.
Em vez de um bloco de domínio, o foco deve estar na tecnologia de prevenção de exploração, uma vez que "detectará a exploração sendo executada independentemente da fonte", disse Tubin.
Usuários-alvo maliciosos
A publicidade mal-intencionada, ou "malvertising", geralmente se refere ao ato de incorporar a exploração em um online (malvertisement). Quando o usuário passa o mouse sobre o anúncio ou clica nele, a exploração é acionada e infecta o usuário. Não é necessário invadir o site legítimo, pois tudo o que o invasor precisa fazer é convencer a rede de anúncios a aceitar o anúncio bloqueado. Com o anúncio incluído na rotação, milhares de sites que usam a rede se tornam veículos de ataque.
"Se o serviço de veiculação de anúncios não detectar o anúncio malicioso, ele será um cúmplice involuntário no esquema de distribuição de malware e exploração", disse Tubin.
O problema é sério, já que os usuários são 182 vezes mais propensos a serem infectados com malware desses anúncios do que de sites de conteúdo adulto, de acordo com uma recente pesquisa de segurança da Cisco. Em alguns casos, o usuário nem precisa interagir com o anúncio, pois o malware inicia um ataque de download drive-by assim que o anúncio é carregado.
Os usuários estão infectando mesmo que "não tenham feito nada errado", disse Mary Landesman, pesquisadora sênior de segurança da Cisco, à SecurityWatch.
Esses anúncios maliciosos costumam tirar proveito do software não corrigido no computador do usuário. Fique por dentro das atualizações do sistema operacional, navegador, plug-ins e outras tecnologias, para minimizar a superfície de ataque desses anúncios.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.
