Como Detectar e Evitar o Malvertising
Entenda o que é malvertising ou publicidade maliciosa, como ele infecta seus dispositivos sem cliques e como se proteger de forma eficaz.

A internet moderna é financiada majoritariamente pela publicidade digital. Todos os dias interagimos com banners, anúncios patrocinados em buscadores e janelas pop-up em portais de notícias, blogs e redes sociais. Entretanto, esse gigantesco ecossistema de anúncios tornou-se um dos caminhos mais comuns para invasões cibernéticas: o malvertising ou publicidade maliciosa.
Diferente das ameaças digitais clássicas que exigem que a vítima faça o download voluntário de um programa suspeito, o malvertising usa redes de anúncios legítimas para espalhar vírus. Isso significa que é possível infectar seu computador ou celular simplesmente acessando uma página de notícias confiável, sem que você clique em nenhuma propaganda.
O que é Malvertising e como ele funciona?
A palavra malvertising é a união dos termos em inglês malicious (malicioso) e advertising (publicidade). Esse ataque funciona a partir do envio de anúncios infectados com códigos prejudiciais para redes de anúncios confiáveis (como Google Ads, redes de compra de mídia programática ou leilões RTB).
Assim que a rede de anúncios aprova a veiculação (muitas vezes porque o criminoso esconde o script durante o processo de revisão automática), o banner passa a ser distribuído em larga escala. O processo segue os passos abaixo:
- Injeção de Script: O invasor adiciona trechos de códigos maliciosos (normalmente JavaScript) dentro do código de uma propaganda visual inofensiva.
- Distribuição em Massa: As redes de anúncios distribuem a campanha para diversos portais e aplicativos parceiros de grande tráfego.
- Execução no Navegador: Quando você entra em um desses sites parceiros, o navegador carrega a propaganda automaticamente.
- Disparo do Exploit: O script roda em segundo plano procurando brechas de segurança no seu navegador ou sistema operacional. Se encontrar uma falha desprotegida, realiza o download de vírus para a máquina (ataque conhecido como drive-by download).
[Invasor] ──(Anúncio Infectado)──> [Rede de Anúncios Legítima]
│ (Distribuição)
▼
[Usuário] ──(Acessa site confiável)──> [Servidor Web do Portal]
[Usuário] <──(Carrega anúncio infectado)──────┘
│
└───> Explora falha do navegador ──> Download de Malware
Métodos mais comuns de distribuição de malvertising
Os cibercriminosos modificam constantemente suas estratégias de distribuição para escapar dos filtros de segurança das redes publicitárias. Os métodos mais usados estão listados na tabela abaixo:
| Método de Distribuição | Como Funciona | Objetivo Principal |
|---|---|---|
| Redirecionamento Forçado | O script do anúncio toma o controle do navegador e redireciona o usuário para falsos suportes técnicos ou fraudes de prêmios. | Enganar a vítima para que ela contrate serviços falsos ou baixe programas inúteis que cobram assinaturas. |
| Download Invisível (Drive-by) | O banner explora uma falha de dia zero (zero-day) do navegador para executar comandos silenciosos sem interação humana. | Instalar Cavalos de Troia de acesso remoto (RAT) ou vírus do tipo ransomware para criptografar arquivos. |
| Envenenamento de Scripts | Aproveita vulnerabilidades em bibliotecas de scripts de terceiros integradas ao código da publicidade. | Capturar informações confidenciais por meio de keyloggers invisíveis inseridos na página. |
| Falsos Anúncios de Busca | Compra de links patrocinados em buscadores simulando as páginas oficiais de ferramentas famosas (ex. VLC, WinRAR). | Distribuir arquivos de instalação corrompidos que contêm vírus roubadores de dados (infostealers). |
Como auditar requisições de rede contra scripts maliciosos de anúncios
Se você gerencia portais web, atua no desenvolvimento de sistemas ou trabalha com cibersegurança, auditar periodicamente as fontes de scripts externos é indispensável. Uma das formas mais diretas de identificar tentativas de conexões a servidores de anúncios maliciosos é rastreando o tráfego da página.
Monitoramento pela consola de desenvolvimento
Você pode identificar conexões de recursos vindos de fora do seu domínio executando o seguinte script de auditoria na consola de ferramentas do desenvolvedor (F12):
// Analisa as conexões a domínios externos iniciadas na página atual
const resources = window.performance.getEntriesByType("resource");
const currentDomain = window.location.hostname;
console.log("=== Analisando Domínios Externos ===");
resources.forEach((res) => {
const url = new URL(res.name);
if (url.hostname !== currentDomain && !url.hostname.includes("trusted-cdn")) {
console.warn(`Alerta - Requisição externa: ${url.hostname} -> Recurso: ${res.initiatorType}`);
}
});
Esse código permite listar facilmente se os anúncios veiculados no seu site estão fazendo chamadas a domínios suspeitos não especificados na sua Política de Segurança de Conteúdo (CSP - Content Security Policy).
Dicas práticas para se proteger da publicidade maliciosa
Proteger-se contra o malvertising exige que o usuário adote uma postura de segurança em camadas, mesclando software preventivo com atualizações frequentes:
- Utilize um bloqueador de anúncios de qualidade: Extensões de código aberto como o uBlock Origin impedem a carga e execução de códigos de redes de publicidade, bloqueando o ataque antes que chegue à tela.
- Atualize o navegador e o sistema operacional: Os vírus distribuídos por publicidade maliciosa aproveitam brechas corrigidas nas versões mais novas dos navegadores. Mantenha os patches em dia.
- Configure plugins para execução sob demanda: Evite que elementos dinâmicos ou complementos antigos de multimídia carreguem sem sua autorização explícita.
- Adote diretivas CSP rigorosas: Caso administre sites, utilize cabeçalhos CSP para controlar exatamente de onde scripts externos podem rodar nas páginas dos usuários.
- Cheque links suspeitos antes de navegar: Se deparar com links suspeitos vindo de anúncios promocionais em mecanismos de busca, utilize o Verificador de URL da TecnoCrypter para analisar o destino com segurança.
Para entender de forma mais aprofundada como as empresas de anúncios coletam dados e traçam perfis de navegação, leia o nosso artigo sobre Cookies e Impressões Digitais. Aprender como configurar esses parâmetros ajudará você a limitar o rastreamento em segundo plano e diminuir a exibição de propagandas perigosas e customizadas.
Conclusão
O malvertising é a prova de que bons hábitos tradicionais de navegação, como evitar sites desconhecidos, já não são suficientes. A capacidade de infectar sistemas por meio de redes de anúncios respeitáveis põe em risco até mesmo usuários experientes e cuidadosos.
Evitar esse tipo de infecção depende de manter bloqueadores ativos, atualizar constantemente as defesas e fazer uso de utilitários de checagem. Ao usar o Verificador de URL da TecnoCrypter, você adiciona um escudo extra que expande links e bloqueia perigos antes que eles comprometam suas senhas ou seu sistema.
Fontes e referências recomendadas:
- OWASP Top 10: Vulnerabilidades em Aplicações Web — Diretrizes globais para mitigar riscos de códigos maliciosos executados no lado do cliente.
- NIST SP 800-83 - Guia de Prevenção e Tratamento de Incidentes de Malware — Recomendações de cibersegurança do governo dos Estados Unidos.
- Artigo relacionado no TecnoCrypter: O perigo de links curtos encurtados em redes sociais
- Artigo relacionado no TecnoCrypter: Cookies, telemetria e browser fingerprinting: como funciona o rastreamento


