# DET0836 — Detection of Malvertising ## Descrição Malvertising é a injeção de código malicioso em redes de publicidade legítimas para distribuir malware ou redirecionar usuários a páginas de phishing através de anúncios aparentemente normais em sites confiáveis. O atacante compra espaço publicitário em redes como Google Ads, Meta Ads ou redes de publicidade de terceiros, e insere código malicioso que é servido a usuários que visitam sites legítimos que exibem esses anúncios. Isso permite comprometer usuários de alta qualidade (visitantes de sites especializados, notícias financeiras, portais governamentais) sem necessidade de comprometer o site diretamente. No Brasil, malvertising é frequentemente usado para distribuir trojans bancários como [[s0531-grandoreiro]] e [[mekotio]]. A técnica é especialmente eficaz pois explora a confiança do usuário no site legítimo que está visitando, e os anúncios maliciosos são difíceis de distinguir de anúncios legítimos. Além disso, como a entrega é feita através de redes de publicidade, o bloqueio baseado em domínio é difícil — os anúncios são servidos de CDNs e domínios de redes de publicidade confiáveis. Campanhas de malvertising são mapeadas em [[t1189-drive-by-compromise|T1189-drive-by-compromise]] quando incluem exploit de browser, ou em [[t1566-phishing|T1566-phishing]] quando redirecionam para páginas de coleta de credenciais. A detecção requer monitoramento de comportamento de browser após interação com anúncios — downloads não solicitados, redirecionamentos para domínios suspeitos, execução de scripts após clique em publicidade. Implementar políticas de Content Security Policy (CSP) em sites corporativos para limitar fontes de scripts e anúncios, usar soluções de DNS filtering que bloqueiam redes de publicidade conhecidas por veicular malware, e treinar usuários para usar bloqueadores de anúncios são controles preventivos eficazes. ## Indicadores de Detecção - Download automático de arquivos após carregamento de página com anúncio (sem clique do usuário) - Redirecionamentos de páginas legítimas para domínios suspeitos originados de scripts de publicidade - Execução de scripts de terceiros em domínios de ad-networks que fazem requisições a domínios maliciosos - Alertas de DNS filtering para domínios de ad-networks conhecidos por malvertising - Correlação de infecções de endpoint com visitas a sites que exibem anúncios de redes específicas - Bloqueios de CSP em logs de browser para scripts de domínios de publicidade não autorizados - Trojans bancários instalados sem phishing explícito — usuários relatando infecção após navegação normal ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189-drive-by-compromise]] — comprometimento via conteúdo malicioso em navegação normal - [[t1566-phishing|T1566-phishing]] — redirecionamento de malvertising para páginas de phishing - [[t1204-user-execution|T1204-user-execution]] — execução pelo usuário de conteúdo baixado via malvertising - [[t1203-exploitation-for-client-execution|T1203-exploitation-for-client-execution]] — exploit de browser via código em anúncio - [[t1608-stage-capabilities|T1608-stage-capabilities]] — hospedagem de payloads servidos via malvertising ## Analytics Relacionadas - [[an1968-analytic-1968|AN1968 — Analytic 1968]] --- *Fonte: [MITRE ATT&CK — DET0836](https://attack.mitre.org/detectionstrategies/DET0836)*