Publicidade

Criminosos invadem 15 mil sites para manipular resultados da busca do Google

Por| 10 de Novembro de 2022 às 16h13

Link copiado!

Pixabay/jay88ld0
Pixabay/jay88ld0

No cibercrime há uma estratégia conhecida como black hat search engine optimization, ou Black Hat SEO, que é uso de táticas ilegais para “envenenar” o motor de buscas do Google — e, assim, manipular o resultado das buscas. Uma campanha com essa característica foi descoberta recentemente, e envolve nada menos do que 15 mil sites invadidos por bandidos.

Segundo a firma de segurança Sucuri, cibercriminosos vêm conduzindo nas últimas semanas uma campanha massiva, que explora brechas no WordPress. Os atacantes invadem sites que usam a plataforma e publicação de conteúdo e redirecionam os visitantes para falsos fóruns de discussão e de perguntas e respostas.

Os pesquisadores encontraram cerca de 20 mil arquivos “envenenados”, usados como parte da campanha de spam. O objetivo inicial dos bandidos seria gerar páginas indexadas, o suficiente para que elas ganhem autoridade. Quando o Google entende que certo endereço possui relevância, com tráfego aparentemente autêntico, o site melhora sua classificação e aparece com mais frequência e em posição destacada nos feeds e resultados de buscas.

Continua após a publicidade

O principal objetivo dos cibercriminosos seria usar a popularidade e a falsa confiabilidade da página para distribuir malwares e páginas de phishing, além de explorar os sites como geradores de tráfego de anúncios fraudulentos. É uma campanha com certa sofisticação, porque envolve a manipulação do sistema do Google a longo prazo, já que, em menos tempo, a própria Gigante das Buscas notaria uma atividade suspeita cheia de infecções.

Como funciona a campanha de manipulação das buscas do Google

Segundo relatos dos pesquisadores da Sucuri, os bandidos modificam arquivos PHP do WordPress, como para injetar os redirecionamentos a páginas falsas. Em alguns casos, os invasores lançam seus próprios arquivos PHP no site de destino, usando nomes aleatórios ou parecidos com legítimos, como “wp-logln.php”.

Continua após a publicidade

Os arquivos infectados ou injetados contêm o código malicioso que verifica se os visitantes do site estão logados no WordPress, e, se não estiverem, redireciona-os para uma URL que finge ser uma imagem. Dessa forma, o conteúdo “envenenado” com uma aplicação em JavaScript foge da detecção dos navegadores, e leva os usuários para as páginas falsas.

Os pesquisadores descobriram redirecionamento para vários domínios e subdomínios, em uma lista com quase 1,2 mil endereços. Os mais populares são esses:

  • pt.w4ksa[.]com
  • paz.yomeat[.]com
  • qa.bb7r[.]com
  • pt.ajeel[.]store
  • qa.istisharaat[.]com
  • pt.photolovegirl[.]com
  • pt.poxnel[.]com
  • qa.tadalafilhot[.]com
  • question.rawafedpor[.]com
  • qa.elbwaba[.]com
  • question.firstgooal[.]com
  • qa.cr-halal[.]com
  • qa.aly2um[.]com

Uma das maiores dificuldades para encontrar os responsáveis pela campanha se deve ao fato de a maioria dos sites falsos se esconderem bem por trás de servidores Cloudflare. Contudo, como todos as páginas maliciosas possuem modelos de criação semelhantes, parecem vir de ferramentas automatizadas — então, é provável que todos tenham origens parecidas.

Continua após a publicidade

Como isso tudo possivelmente começa a partir de vulnerabilidades no WordPress, é preciso ficar atento às notícias sobre brechas na plataforma de blogs. E, claro, acima de tudo, atualizar todos os plugins do WordPress e CMS do site para a versão mais recente, além de ativar a autenticação de dois fatores (2FA) nas contas de administrador.