Bandidos manipulam sistemas de busca para contaminar dispositivos

Uma combinação de exploração de falhas com manipulação de mecanismos de busca vem sendo usada por gangues internacionais de malware para contaminar dispositivos, principalmente computadores com o sistema operacional Windows. Usando hashtags ocultas em sites que já possuem bons ranqueamentos em sites de pesquisa, os criminosos levam as vítimas ao download de documentos que, quando baixados, escondem ransomwares e backdoors.

• Malware para Android pode espionar usuários e estava em lojas oficiais
• Campanha de fraudes atinge mais de 10 milhões de usuários do Android
• História da segurança virtual: a origem do vírus de computador

Trata-se de suas categorias de ofensiva bem diferentes, mas que estão sendo aplicadas da mesma maneira. De acordo com o time da Menlo Security, responsável pela descoberta da campanha, vem sendo usada uma falha ainda não revelada no plugin Formidable Forms, usados em sites com Wordpress para a criação de formulários; a vulnerabilidade, entretanto, também permite o upload de arquivos para os servidores, incluindo páginas e documentos.

É aí que o golpe acontece. Como os sites já possuem bons posicionamentos nos mecanismos de pesquisa, usuários incautos são atraídos a eles pelas buscas realizadas e induzidos a baixar os arquivos, que podem vir nos formatos PDF ou DOC. Em ambos os casos, o malware está escondido neles e se instala no PC com Windows após a execução, possibilitando ataques de sequestro de dados ou abrindo backdoors que permite a conexão com servidores sob o comando dos criminosos, de onde vêm novas pragas.

De acordo com a Menlo Security, os ataques estão associados à gangue de ransomware REvil, notória por ataques a grandes companhias como a processadora de alimentos JBS, ou a um outro grupo utilizando o malware SolarMarker. O segundo malware vem sendo apontado desde julho deste ano como um preferido dos criminosos que praticam essa técnica chamada de “envenenamento de SEO”, uma categoria que vem apresentando crescimento desde o início da pandemia da covid-19.

Segundo o levantamento dos especialistas, sites ligados a negócios são, de longe, os principais alvos. Eles apresentam mais do que o dobro de detecções do segundo colocado, o setor de organizações não governamentais, que vem à frente de saúde, compras e educação. Os ataques localizados aparecem na língua inglesa, mirando usuários internacionais e sem aparente distinção entre países.

A recomendação aos administradores de sites que utilizem o Formidable Form é a atualização para a versão 5.0.10 do plugin, que mitiga o problema. Vale, também, observar arquivos e páginas que tenham sido hospedados sem autorização, os tirando do ar para evitar disseminar malwares e, também, não encarar problemas com as próprias ferramentas de buscas.

Enquanto isso, aos usuários, vale a recomendação de não realizar o download de arquivos de fontes desconhecidas. Desconfie sempre que uma página oferecer links para baixar documentos em PDF ou Word e mantenha sistemas operacionais e apps sempre atualizados. Soluções de segurança também ajudam a combater ameaças mais comuns.

Fonte: Menlo Security