São Paulo — InkDesign News — Uma sofisticada operação de cibercrime, provavelmente baseada na China, está promovendo uma campanha de manipulação de SEO com o objetivo de aumentar artificialmente as classificações de busca de vários sites de jogos. Os esforços têm como alvo principalmente sites hospedados em servidores Windows.
Vetor de ataque
A campanha, identificada como GhostRedirector, usa a exploração de vulnerabilidades, provavelmente de injeção de SQL não corrigidas, para obter acesso inicial aos servidores web. Após a infecção, os operadores utilizam PowerShell para baixar ferramentas de malware, sendo que duas delas, chamadas Rungan e Gamshen, ainda não haviam sido vistas anteriormente.
Impacto e resposta
Desde agosto de 2024, este ataque afetou dezenas de sites, principalmente no Brasil, Vietnã e Tailândia. Segundo a ESET, muitos dos 65 sites comprometidos são de empresas dos setores de saúde, educação, transporte, seguros, varejo e tecnologia. De acordo com a empresa, “não foi encontrada evidência de um alvo específico” entre as vítimas, que aparentam estar dispersas aleatoriamente por diferentes setores.
(“ESET said it couldn’t find evidence of sector-specific targeting by the previously unknown threat actor, with victims scattered randomly across healthcare, education, transportation, insurance, retail, and technology sectors.”)
A análise do ataque do GhostRedirector mostra que, uma vez dentro do servidor, o malware injeta links promotores nos conteúdos dos sites comprometidos, manipulando o algoritmo do Google para elevar as classificações de busca dos sites-alvo.
(“ESET found Gamshen implemented as a native Internet Information Services (IIS) component with malicious capabilities.”)— ESET, Pesquisa em Segurança Cibernética
Análise e recomendações
Com o potencial de afetar a visibilidade online e a reputação de diversas empresas, a ESET recomenda que organizações utilizem contas dedicadas, senhas fortes e autenticação multifatorial para os administradores dos servidores IIS. Além disso, é fundamental garantir que módulos nativos do IIS sejam instalados apenas a partir de fontes confiáveis e assinados por provedores confiáveis.
Com o cenário de cibersegurança em constante evolução, empresas devem estar atentas a novas vulnerabilidades e ameaças, especialmente àquelas que exploram falhas em componentes críticos como o IIS.
Fonte: (Dark Reading – Segurança Cibernética)
