Publicidade

Bandidos manipulam sistemas de busca para contaminar dispositivos

Por| Editado por Claudio Yuge | 29 de Outubro de 2021 às 20h50

Link copiado!

Reprodução/Menlo Security
Reprodução/Menlo Security

Uma combinação de exploração de falhas com manipulação de mecanismos de busca vem sendo usada por gangues internacionais de malware para contaminar dispositivos, principalmente computadores com o sistema operacionalWindows. Usando hashtags ocultas em sites que já possuem bons ranqueamentos em sites de pesquisa, os criminosos levam as vítimas ao download de documentos que, quando baixados, escondem ransomwares e backdoors.

Trata-se de suas categorias de ofensiva bem diferentes, mas que estão sendo aplicadas da mesma maneira. De acordo com o time da Menlo Security, responsável pela descoberta da campanha, vem sendo usada uma falha ainda não revelada no plugin Formidable Forms, usados em sites com Wordpress para a criação de formulários; a vulnerabilidade, entretanto, também permite o upload de arquivos para os servidores, incluindo páginas e documentos.

É aí que o golpe acontece. Como os sites já possuem bons posicionamentos nos mecanismos de pesquisa, usuários incautos são atraídos a eles pelas buscas realizadas e induzidos a baixar os arquivos, que podem vir nos formatos PDF ou DOC. Em ambos os casos, o malware está escondido neles e se instala no PC com Windows após a execução, possibilitando ataques de sequestro de dados ou abrindo backdoors que permite a conexão com servidores sob o comando dos criminosos, de onde vêm novas pragas.

Continua após a publicidade

De acordo com a Menlo Security, os ataques estão associados à gangue de ransomware REvil, notória por ataques a grandes companhias como a processadora de alimentos JBS, ou a um outro grupo utilizando o malware SolarMarker. O segundo malware vem sendo apontado desde julho deste ano como um preferido dos criminosos que praticam essa técnica chamada de “envenenamento de SEO”, uma categoria que vem apresentando crescimento desde o início da pandemia da covid-19.

Segundo o levantamento dos especialistas, sites ligados a negócios são, de longe, os principais alvos. Eles apresentam mais do que o dobro de detecções do segundo colocado, o setor de organizações não governamentais, que vem à frente de saúde, compras e educação. Os ataques localizados aparecem na língua inglesa, mirando usuários internacionais e sem aparente distinção entre países.

A recomendação aos administradores de sites que utilizem o Formidable Form é a atualização para a versão 5.0.10 do plugin, que mitiga o problema. Vale, também, observar arquivos e páginas que tenham sido hospedados sem autorização, os tirando do ar para evitar disseminar malwares e, também, não encarar problemas com as próprias ferramentas de buscas.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Enquanto isso, aos usuários, vale a recomendação de não realizar o download de arquivos de fontes desconhecidas. Desconfie sempre que uma página oferecer links para baixar documentos em PDF ou Word e mantenha sistemas operacionais e apps sempre atualizados. Soluções de segurança também ajudam a combater ameaças mais comuns.

Fonte: Menlo Security