Hackers usam Google Ads para distribuir malware disfarçado de Ghidra, dnSpy e SpiderFoot

A campanha atual não é um desvio pontual, mas o ápice de uma escalada técnica no malvertising via Google Ads: desde novembro de 2025, atacantes usam infraestrutura profissionalizada, incluindo a plataforma '1Campaign', revelada em fevereiro de 2026, para cloaking avançado, filtragem anti-análise e direcionamento seletivo por geolocalização, estado da sessão e até presença de VPN. Diferente de ataques anteriores com foco em credenciais (como o phishing contra ManageWP) ou wallets (Uniswap), essa operação prioriza a infiltração silenciosa com três cargas distintas: o RemusStealer (infostealer multiplataforma), o AnimateClipper (clipper com suporte a 20 blockchains) e o SessionGate (carregador ofuscado com criptografia derivada em tempo real). O alvo estratégico são profissionais de segurança e engenharia reversa, usuários que buscam Ghidra, dnSpy e SpiderFoot, tornando a falsificação visual quase indetectável mesmo para especialistas.

O tráfego é orquestrado por um TDS hospedado na CloudFront da Amazon, com lógica que exige confirmação explícita de clique e descarta bots com base em comportamento de mouse e tempo de permanência. Isso explica por que as páginas falsas passam nos testes iniciais de moderação do Google: elas só ativam o redirecionamento malicioso após interação humana verificável. Ainda assim, o Google removeu mais de 8,3 bilhões de anúncios inadequados em 2025, mas a detecção ainda ocorre *após* a veiculação, não antes, como prometido pela nova arquitetura baseada no Gemini.

Em comparação com a campanha de SEO poisoning contra o Gemini CLI e Claude (25/05), essa operação abandona a dependência de resultados orgânicos e opera exclusivamente via Google Ads patrocinados, com maior velocidade de ativação e menor risco de detecção inicial. Também evoluiu do modelo 'download único' (como no caso do Claude Code com mshta.exe) para um fluxo de múltiplas etapas: TDS → carregador ofuscado (SessionGate) → execução condicional de infostealer ou clipper. Além disso, enquanto os ataques anteriores visavam principalmente desenvolvedores, esta campanha segmenta ativamente analistas de ameaças, explorando a confiança implícita em ferramentas de código aberto de segurança, um salto tático que reduz a taxa de rejeição.

Empresas brasileiras com equipes de SOC, pentest ou resposta a incidentes estão em risco direto: um único clique em um link do Google Ads que parece levar ao GitHub oficial do Ghidra pode instalar o RemusStealer, capaz de extrair tokens de API, senhas de SSH, chaves PGP e até sessões ativas do VS Code. Não há necessidade de execução manual, o SessionGate carrega módulos em memória sem gravar arquivos em disco. Para CISOs, isso significa que políticas de 'não baixar ferramentas externas' já não bastam: o vetor agora é o próprio canal de busca legítimo. A falha não está no usuário, mas na lacuna entre a moderação automatizada do Google e a capacidade dos atacantes de simular comportamento humano com precisão crescente.