Anúncios de spam ao se conectar ao servidor VPN de Cingapura

EDIT: Enquanto tentei um novo VPN e o problema desapareceu, ainda é difícil dizer se isso tinha alguma relação com o servidor VPN Mullvad (como alguém aponta, algo assim realmente não deveria ser possível via https, não sei se vulnerabilidades de conteúdo misto são possíveis e poderiam causar isso)

Percebi enquanto navegava no fórum https://aseannow.com/ (editar: em vários dispositivos móveis Android, chrome/firefox, não parece afetar o laptop), que ao me conectar especificamente ao servidor Mullvad de Cingapura, ele parece interceptar os anúncios e substituí-los por anúncios de spam (testado no celular). Se desconectar do servidor, fica tudo bem. Se me conectar a outro local, funciona normalmente. Talvez o site tenha alguma coisa específica de localização (ou eu tenha algum malware local que seja bloqueado por região), mas é mais provável que seja o servidor VPN causando isso… pois não faria muito sentido que malware só atuasse quando detecta usuários localizados em Cingapura.

No mês passado, o banner do anúncio ficava vazio por 5 segundos, depois mostrava um redirecionamento em tela cheia dizendo que eu tinha ganhado um telefone móvel. Neste mês, mudou um pouco (um pouco mais sutil), e dão anúncios de banner que parecem mais normais, porém com má formatação (por exemplo, o dobro da largura da página web), servidos por plataformas de anúncios arriscadas como outbrain (quando não conectado ao VPN, só há anúncios do google).

Comentários:

[alguns comentários traduzidos, mantendo essência da conversa]

Li seu post e visitei o site enquanto estava conectado ao servidor Mullvad sg5-wireguard (M247) via Safari no meu iPad. Usando o bloqueador de anúncios/rastreamento/malware da Mullvad, mas garanti de desativar a extensão do navegador AdGuard. Naveguei por alguns minutos, visitando vários subfóruns. Além de um pop-up amarelo perguntando se gostaria de assinar a newsletter deles ao entrar, não percebi nada de estranho.

Obrigado por verificar. Eu estou usando Chrome no celular, acabei de testar no Firefox com o mesmo resultado. Não consigo reproduzir no laptop, pois não recebo anúncios de banner. Vou tentar inspecionar o código da página.

[removido por erro de digitação na URL]

Recebi um anúncio de sportsbet.io, que parece ser um site de golpe, e tenho dúvidas de que o Google o exiba.

Também há anúncios de criteo.com, embora o administrador do fórum tenha dito que eles apenas configuraram para exibir anúncios do Google. Então, você não deveria ver anúncios de fontes diferentes do Google, e ao desconectar o VPN, tudo fica somente com anúncios legítimos do Google.

EDIT: parece que criteo.com é malware, geralmente no dispositivo. Só não sei por que isso só acontece ao usar o VPN de Cingapura, já que parece ser malware baseado no dispositivo. Não consigo reproduzir em um laptop em um navegador móvel simulado.

EDIT 2: Tentei isso em um dispositivo móvel quase limpo, praticamente sem nada instalado de fábrica, e ainda assim aparecem anúncios do criteo.

EDIT 3: Estou sem opções, não tenho certeza se gum.criteo.com é necessariamente malware, mas está de alguma forma ligado aos anúncios suspeitos. Estou vendo o código fonte da página entre a normal e a de spam, e dá para perceber as diferenças no conteúdo que geram os anúncios, mas não sei como eles chegam lá. Posso garantir que o segundo dispositivo está limpo de malware, a não ser que venha de fábrica.

Os passos para reproduzir são: usar VPN de Cingapura (apenas Android, Chrome ou Firefox), atualizar a página até aparecer um anúncio de banner inferior que não seja do Google, o que pode levar de 5 a 10 segundos. Se segurar no anúncio, pode identificar facilmente os anúncios falsos.

Sim, acho que não, não tinha certeza se recursos individuais carregados na página (como um script .js de um servidor de anúncios) poderiam ser interceptados, mas provavelmente não, já que isso quebraria a segurança do https.

Tentei um novo serviço de VPN (conectando a Cingapura) e não recebo mais anúncios suspeitos, o que praticamente descarta malware local, então não sei o que mais poderia estar acontecendo.

No entanto, ainda há uma certa estranheza nos anúncios, como ao clicar no botão ‘i’ no anúncio, que normalmente exibe uma mensagem de informação no banner, quando o VPN está conectado, abre uma nova aba totalmente diferente. E se eu conectar o VPN ao meu país, essa diferença de comportamento desaparece.

Deixarei este post para quem mais experimentar anúncios ruins, quem sabe consiga progredir mais na investigação. Estou sem ideias do que poderia estar acontecendo. A melhor hipótese agora é que o Adsense foi comprometido com anúncios ruins, e esses anúncios teriam sido exibidos em locais de maior valor, como Cingapura, e provavelmente eu teria visto isso se estivesse lá sem VPN. Ou há uma vulnerabilidade de conteúdo misto que modifica os anúncios exibidos numa página https (talvez o próprio site esteja comprometido).