Criminosos invadem 15 mil sites para manipular resultados da busca do Google
Por Claudio Yuge | 10 de Novembro de 2022 às 16h13
No cibercrime há uma estratégia conhecida como black hat search engine optimization, ou Black Hat SEO, que é uso de táticas ilegais para “envenenar” o motor de buscas do Google — e, assim, manipular o resultado das buscas. Uma campanha com essa característica foi descoberta recentemente, e envolve nada menos do que 15 mil sites invadidos por bandidos.
- Falha em plugin do Wordpress traz risco a mais de 280 mil sites
- Campanha criminosa mira plugin vulnerável no Wordpress
Segundo a firma de segurança Sucuri, cibercriminosos vêm conduzindo nas últimas semanas uma campanha massiva, que explora brechas no WordPress. Os atacantes invadem sites que usam a plataforma e publicação de conteúdo e redirecionam os visitantes para falsos fóruns de discussão e de perguntas e respostas.
Os pesquisadores encontraram cerca de 20 mil arquivos “envenenados”, usados como parte da campanha de spam. O objetivo inicial dos bandidos seria gerar páginas indexadas, o suficiente para que elas ganhem autoridade. Quando o Google entende que certo endereço possui relevância, com tráfego aparentemente autêntico, o site melhora sua classificação e aparece com mais frequência e em posição destacada nos feeds e resultados de buscas.
O principal objetivo dos cibercriminosos seria usar a popularidade e a falsa confiabilidade da página para distribuir malwares e páginas de phishing, além de explorar os sites como geradores de tráfego de anúncios fraudulentos. É uma campanha com certa sofisticação, porque envolve a manipulação do sistema do Google a longo prazo, já que, em menos tempo, a própria Gigante das Buscas notaria uma atividade suspeita cheia de infecções.
Como funciona a campanha de manipulação das buscas do Google
Segundo relatos dos pesquisadores da Sucuri, os bandidos modificam arquivos PHP do WordPress, como para injetar os redirecionamentos a páginas falsas. Em alguns casos, os invasores lançam seus próprios arquivos PHP no site de destino, usando nomes aleatórios ou parecidos com legítimos, como “wp-logln.php”.
Os arquivos infectados ou injetados contêm o código malicioso que verifica se os visitantes do site estão logados no WordPress, e, se não estiverem, redireciona-os para uma URL que finge ser uma imagem. Dessa forma, o conteúdo “envenenado” com uma aplicação em JavaScript foge da detecção dos navegadores, e leva os usuários para as páginas falsas.
Os pesquisadores descobriram redirecionamento para vários domínios e subdomínios, em uma lista com quase 1,2 mil endereços. Os mais populares são esses:
- pt.w4ksa[.]com
- paz.yomeat[.]com
- qa.bb7r[.]com
- pt.ajeel[.]store
- qa.istisharaat[.]com
- pt.photolovegirl[.]com
- pt.poxnel[.]com
- qa.tadalafilhot[.]com
- question.rawafedpor[.]com
- qa.elbwaba[.]com
- question.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
Uma das maiores dificuldades para encontrar os responsáveis pela campanha se deve ao fato de a maioria dos sites falsos se esconderem bem por trás de servidores Cloudflare. Contudo, como todos as páginas maliciosas possuem modelos de criação semelhantes, parecem vir de ferramentas automatizadas — então, é provável que todos tenham origens parecidas.
Como isso tudo possivelmente começa a partir de vulnerabilidades no WordPress, é preciso ficar atento às notícias sobre brechas na plataforma de blogs. E, claro, acima de tudo, atualizar todos os plugins do WordPress e CMS do site para a versão mais recente, além de ativar a autenticação de dois fatores (2FA) nas contas de administrador.