Golpe do SEO: como hackers manipulam o Google para infectar servidores no Brasil
Um grupo de hackers chineses conhecido como UAT-8099 está sendo investigado por pesquisadores de cibersegurança da Cisco Talos por manipular mecanismos de busca, como SEO, para infectar servidores e usuários no Brasil e no mundo.
Os principais alvos são servidores IIS da Microsoft, com infecções sendo reportadas em vários países, incluindo Brasil, Canadá, Índia, Tailândia e Vietnã. O grupo de cibercriminosos foi identificado pela primeira vez em abril deste ano, atacando primeiramente usuários mobile.
De acordo com a análise dos especialistas, o UAT-8099 manipula os resultados de pesquisa focando em servidores IIS de alto valor, utilizando web shells e ferramentas de hacking open-source, como Cobalt Strike, para se manter em alta nos rankings de SEO e espalhar malwares BadIIS.
- São encontrados servidores vulneráveis, tanto por má configuração na ferramenta de upload de arquivos quanto por brechas de segurança.
- São feitas backdoors para persistir no sistema do servidor mesmo após deleção de arquivos maliciosos.
- Ferramentas como VPN SoftEther, EasyTier e proxy reverso ajudam os criminosos a continuarem evitando a detecção no local das vítimas.
O malware BadIIS usado nos casos recentes é uma variante com código mais moderno que inclui táticas de evasão de antivírus. Seu funcionamento é similar ao do Gamshen, onde o componente de manipulação de SEO é ativado apenas quando a requisição vem do Google, imitando a ação de um usuário.
É importante que os usuários e administradores de servidores tomem medidas de segurança para proteger-se contra esses tipos de ataques, como manter o software atualizado, utilizar ferramentas de segurança e monitorar os logs de acesso.
Ainda não é claro o número de vítimas, mas é fundamental que as autoridades e os especialistas em cibersegurança continuem a investigar e a compartilhar informações para prevenir e combater esses tipos de ataques.
Este conteúdo pode conter links de compra.
Fonte: link