Trojan manipula posicionamento no Chrome simulando atividade real de usuários
Por Jaqueline Sousa • Editado por Jones Oliveira |
Um novo trojan que impacta diretamente o ranqueamento no Google Chrome foi identificado por pesquisadores da Doctor Web. Segundo os especialistas, o malware manipula o posicionamento dos resultados no mecanismo de busca a partir da simulação da atividade real de usuários.
- Serviço ajuda hackers a esconderem vírus de qualquer antivírus
- Falha no Gmail permite roubo irreversível de contas via controle parental
Batizado de ChimeraWire, o trojan não segue exatamente a cartilha de roubo de dados que os hackers costumam usar em golpes tradicionais. O que ocorre é o aumento da visibilidade de determinados sites com a automatização de buscas e a imitação de cliques usando um recurso oculto do Chrome.
Até o momento, foi detectado que o malware parece estar apenas direcionando tráfego falso para sites específicos no que parece ser uma operação para manipular SEO. Por outro lado, a análise notou que o trojan também consegue entregar uma automação mais ampla e ainda extrair dados, caso os operadores por trás do software malicioso assim o desejem.
Malware para simular atividade de usuários
Na prática, o ChimeraWire age a partir de um processo em camadas. Os pesquisadores identificaram que tudo ocorre em duas cadeias de instalação, sendo que ambas envolvem o download de trojans, escalonamento de privilégios e técnicas de persistência do sistema.
A primeira cadeia de infecção começa com a instalação de um programa que verifica a existência de ambientes virtuais. Caso o sistema aparente legitimidade, ele instala um script de Python e um DLL malicioso que levam ao ChimeraWire.
Já a segunda cadeia conta com um instalador que simula um processo legítimo do Windows, explorando vulnerabilidades da interface COM para obter acesso ao sistema.
Com o trojan devidamente instalado, ele adiciona extensões para burlar CAPTCHAs e, dessa maneira, conseguir se conectar a um servidor de comando. Assim, é possível utilizar padrões de cliques e pausas aleatórias para evitar que a ação seja detectada por bots e seguir na manipulação do tráfego falso.
O malware ainda possui alguns recursos não explorados pelos agentes, como leitura do conteúdo da página, captura de tela e preenchimento de formulários.
Leia também: