Malvertising (uma variação da palavra inglesa advertising, que significa publicidade em uma tradução livre) é uma técnica de espalhar malware utilizando publicidade na web. Ao inserir publicidade maliciosa em websites legítimos, os autores do malware podem redirecionar usuários para sites maliciosos e entregar payload de malware com a ajuda de um kit exploit.
Se pareceu muito técnica a explicação acima, não se preocupe. Para simplificar, a ideia do malvertising é levar usuários a instalar códigos maliciosos em seus computadores enquanto os mesmos acreditavam visitar publicidade legítima e livre de qualquer ameaça.
A campanha de malvertising que está sendo bastante comentada no momento é a de instalação de um certificado (válido, legítimo) SSL gratuito disponibilizado pela iniciativa Let’s Encrypt. Este projeto da Let´s Encrypt é bastante interessante, vale a pena pesquisar um pouco para se inteirar. Porém, para a análise que se faz necessária, avançaremos sem esta contextualização.
Qual é o problema aqui descrito? O problema é que o Let’s Encrypt apenas verifica (contra a API Safe Browsing do Google) se o domínio principal para o qual foi requisitado o certificado SSL foi sinalizado para malware ou phishing. Entretanto, a Let’s Encrypt nunca verifica domínios shadow (como neste caso em que o autor da campanha de malvertising facilmente pode requisitar e ser aprovado para um certificado SSL gratuito).
Além disso, a Let’s Encrypt tem uma política de não revogar certificados. Sua explicação para tal procedimento é que as certification authorities não estão equipadas para verificar conteúdo e certificados emitidos por eles.
Como se proteger? A Trend Micro diz que:
“Usuários devem estar cientes que um website ‘seguro’ não é sempre ou necessariamente um website confiável, e a melhor defesa constra kits exploit ainda é uma abordagem simples: Mantenha seu software atualizado para minimizar o número de vulnerabilidades que podem ser exploradas por cybercriminosos. “
