Malware usa SEO para aumentar popularidade de sites e se espalhar

Um novo malware utiliza técnicas de SEO para aumentar a popularidade de sites comprometidos e aumentar a eficácia de ataques digitais. A técnica inusitada, e relativamente trabalhosa, tem como alvo os principais sistemas de gerenciamento de conteúdo, assim como fóruns de discussão ou espaços de publicação e troca de mensagens entre usuários, considerados como grandes centros para tirar dúvidas e obter informações de forma rápida, algo bastante apreciado quando se fala em otimização para ferramentas de busca.

• Roubo de contas bancárias cresceu em 20% ao longo de 2020, afirma estudo
• Brasil sofreu mais de 8,4 bilhões de tentativas de ciberataques em 2020
• Dados de 21 milhões de usuários de VPNs gratuitas vazam na web

O intuito principal dos ataques, claro, é aumentar o ranqueamento das páginas infectadas no Google. Uma vez que os sites são contaminados, seja por meio de golpes de engenharia social contra seus responsáveis ou meras brechas de segurança nos próprios sistemas, a praga altera o código-fonte para adicionar algumas linhas de código que permitem o acompanhamento remoto de informações de SEO, para que possam ser usadas na exploração.

A parte final do golpe é a mais sofisticada, como apontaram os especialistas da Sophos. Usando uma rede de cerca de 400 servidores, o malware é capaz de substituir a página legítima pela interface falsa de um fórum de discussões, no qual a resposta exata da busca feita pelo usuário é dada na forma de um link direto, colocado em destaque para a futura vítima.

Dentro do arquivo baixado, no formado ZIP, está a praga em si, que é capaz de rodar a partir da memória do computador e esconder o seu funcionamento dos aplicativos de segurança, de forma que possa baixar outros malwares para a máquina. O principal foco está nos trojans bancários, com o intuito de roubar credenciais de acesso e informações pessoais que são enviadas aos servidores sob o controle dos bandidos.

O ataque, batizado de Gootloader pelos pesquisadores por utilizar o trojan de acesso remoto Gootkit para realizar a infecção, também pode resultar em tentativas de ransomware contra usuários finais ou empresas. Clientes bancários e outros indivíduos em países como Estados Unidos, Alemanha, França e Coreia do Sul são os principais alvos, com as páginas falsas, inclusive, tendo sido traduzidas para estes idiomas como forma de aumentar a aparência de legitimidade dos ataques.

Apesar da sofisticação dos ataques, a Sophos aponta que saber reconhecer os sinais é um bom caminho para a proteção. Em um dos casos detectados pelos pesquisadores em segurança, por exemplo, o site de uma clínica neonatal foi utilizado para exibir informações relacionadas ao mercado imobiliário, um forte indicador de que se trata de algum tipo de manipulação irregular de página com o intuito de contaminar quem a acessa.

Entretanto, os especialistas apontam que mesmo usuários avançados podem ser enganados por esse tipo de tática, com a indicação sendo a não realização de downloads fora de sites de desenvolvedores ou lojas de aplicativo legítimas. Além disso, a Sophos recomenda a utilização de extensões bloqueadoras de scripts em navegadores como forma de impedir a substituição das páginas — apesar de que tais sistemas também podem interferir no funcionamento de sites legítimos.

Por fim, a Sophos também pede atenção dos mecanismos de busca, que podem impedir que páginas maliciosas cheguem aos postos superiores nas pesquisas. A empresa também publicou, em seu site, indicadores de comprometimento para que administradores de rede e usuários avançados possam avaliar se o malware já está ativo dentro de seus sistemas.

Fonte: Sophos