Em outubro de 2023, hackers usaram nomes de domínio transcodificados em Punycode para colocar anúncios do gerenciador de senhas KeePass na Pesquisa Google, induzindo os usuários a baixar versões contendo vírus para realizar ataques em tempo real e roubar dados. Foi fácil para os profissionais descobrirem que se tratava de um site de phishing, mas os revisores de publicidade da Pesquisa Google não o encontraram.

Por um lado, isso envolve questões de receita de publicidade e, por outro lado, o Google não realiza pós-revisão rigorosa dos anúncios, para que os hackers possam substituir o conteúdo do site por conteúdo malicioso após a veiculação dos anúncios.

Recentemente, o desenvolvedor de software de segurança Malwarebytes descobriu novamente um site de phishing semelhante. O site de phishing descoberto desta vez provavelmente foi lançado por uma gangue fraudulenta na Índia ou na Nigéria, porque a página de destino era uma falsa linha direta de suporte da Microsoft.

A gangue fraudulenta não usou um nome de domínio falso desta vez. Eles pareciam ter usado de alguma forma o nome de domínio do site de notícias CNN. Quando os usuários pesquisarem CNN no Google, eles verão o anúncio com a primeira classificação. Superficialmente, parece ser o site oficial da CNN. Depois de clicar para entrar, um chamado alerta de vírus aparece na tela, pedindo ao usuário que ligue para uma falsa linha direta de suporte da Microsoft para obter ajuda.

A maioria desses grupos fraudulentos que fingem ser linhas diretas de suporte da Microsoft estão baseados na Índia e na Nigéria e têm como alvo principalmente usuários americanos. Eles transferem as chamadas recebidas dos usuários por meio de call centers virtuais e, em seguida, enganam os usuários para que paguem uma taxa para resolver problemas de vírus.

Não se sabe por que a gangue fraudulenta conseguiu usar o nome de domínio da CNN. Pode ser uma brecha, mas é mais provável que um membro da CNN tenha aberto uma subpágina para a gangue fraudulenta, para que a gangue fraudulenta possa usar o nome da CNN para colocar anúncios.

Depois que o anúncio for analisado pelo Google, ele será redirecionado para um site fraudulento. Este site fraudulento ainda é um contêiner hospedado no Azure e o nome de domínio usado é *.web.core.Windows.net. Estima-se que a gangue fraudulenta espera que ter o Windows no nome de domínio aumente sua credibilidade.