This post is also available in: Português Español
Cibercriminosos exploram sites para incrementar a otimização de busca antes de implantar malwares. Fazer a vítima subir na classificação do Google é a chave para essa nova técnica.
Muitos golpistas virtuais podem nem conhecer o termo “lobo em pele de cordeiro”, mas é exatamente isso o que fazem em diversas metodologias de invasão. Em uma das mais recentes, eles utilizam técnicas de Otimização de Mecanismo de Pesquisa (SEO, na sigla em inglês) para implantar cargas de malware, buscando atingir o maior número possível de vítimas.
Na realidade, o chamado método de “desotimização” do mecanismo de busca inclui truques de SEO e de psicologia para melhorar, nas buscas do Google, o ranqueamento de sites que foram comprometidos.
Por si só, a otimização de SEO é legítima – e muito bem-vinda. É usada para aumentar a exposição de um site em mecanismos de pesquisa do Google ou Bing. A questão é que agora muitos golpistas estão adulterando os sistemas de gerenciamento de conteúdo (CMS) de sites para implementar malwares, ferramentas de exploração e ransomwares.
A técnica é apelidada de Gootloader, e envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware.
Complexo e mortal
O uso de SEO como técnica para implantar o Gootkit RAT não é uma operação pequena. Pesquisadores estimam que é necessária uma rede com no mínimo 400 servidores, operando 24 horas por dia, 7 dias por semana.
Embora não se saiba se um determinado exploit é usado para comprometer esses domínios, os pesquisadores dizem que os CMSs que executam o back-end de sites podem ter sido sequestrados por meio de malware, credenciais roubadas ou ataques de força bruta.
Depois que se obtém o acesso, algumas linhas de código são inseridas no corpo do conteúdo do site. Aí, algumas verificações são realizadas para determinar se a vítima é de fato interessante – por exemplo, com base em seu IP e localização – checando quais consultas originadas da pesquisa do Google são mais comumente aceitas.
Os sites comprometidos pelo Gootloader são manipulados para responder a consultas de pesquisa específicas. Quadros de mensagens falsos são muito utilizados nesses sites, nos quais modificações sutis são feitas para reescrever a forma como o conteúdo do site é apresentado a determinados visitantes.
Se tudo der certo, o código malicioso em execução redesenha a página para dar ao visitante a aparência de que ele se deparou com um quadro de mensagens, ou área de comentários, em que os internautas estão discutindo exatamente o mesmo tópico que ele buscou.
Aí, uma postagem falsa no fórum será exibida contendo uma resposta aparente à consulta, bem como um link direto para download. Em um exemplo abordado pela equipe da multinacional Sophos, o site de uma clínica neonatal foi invadido e mostrava respostas falsas a perguntas relacionadas a imóveis.
As vítimas que clicassem nos links diretos para download receberiam um arquivo Zip com um nome relacionado ao termo pesquisado, que contém um arquivo js. Se o js for executado, o código oculto é então descriptografado para “chamar” outras cargas maliciosas.
Um belo disfarce
A técnica está sendo usada para espalhar o Trojan bancário Gootkit, Kronos, Cobalt Strike e o ransomware REvil, entre outras variantes de malware. Seja qual for o caso, pode ser difícil evitar a infecção – mas não impossível.
O problema é que mesmo pessoas treinadas podem ser enganadas pela cadeia de truques de engenharia social que os criadores do Gootloader usam. Bloqueadores de script, como o NoScript do Firefox, podem ajudar a deixar o sistema seguro, evitando que a substituição inicial da página invadida aconteça. Contudo, nem todo mundo usa ferramentas do tipo – que são utilizadas principalmente por usuários mais cientes dos riscos oferecidos pela internet.
Nesse contexto, é cada vez mais importante treinar funcionários para que identifiquem eventuais perigos. Afinal, se mesmo os trabalhadores mais esclarecidos estão à mercê do Gootloader, colaboradores menos esclarecidos podem cair com mais frequência no golpe – comprometendo toda a empresa.
This post is also available in: Português Español