Mercado fechado
  • BOVESPA

    111.923,93
    +998,33 (+0,90%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.234,37
    -223,18 (-0,43%)
     
  • PETROLEO CRU

    80,34
    -0,88 (-1,08%)
     
  • OURO

    1.811,40
    -3,80 (-0,21%)
     
  • BTC-USD

    17.008,73
    +42,23 (+0,25%)
     
  • CMC Crypto 200

    404,33
    +2,91 (+0,72%)
     
  • S&P500

    4.071,70
    -4,87 (-0,12%)
     
  • DOW JONES

    34.429,88
    +34,87 (+0,10%)
     
  • FTSE

    7.556,23
    -2,26 (-0,03%)
     
  • HANG SENG

    18.675,35
    -61,09 (-0,33%)
     
  • NIKKEI

    27.777,90
    -448,18 (-1,59%)
     
  • NASDAQ

    11.979,00
    -83,75 (-0,69%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,4940
    +0,0286 (+0,52%)
     

Criminosos invadem 15 mil sites para manipular resultados da busca do Google

No cibercrime há uma estratégia conhecida como black hat search engine optimization, ou Black Hat SEO, que é uso de táticas ilegais para “envenenar” o motor de buscas do Google — e, assim, manipular o resultado das buscas. Uma campanha com essa característica foi descoberta recentemente, e envolve nada menos do que 15 mil sites invadidos por bandidos.

Segundo a firma de segurança Sucuri, cibercriminosos vêm conduzindo nas últimas semanas uma campanha massiva, que explora brechas no WordPress. Os atacantes invadem sites que usam a plataforma e publicação de conteúdo e redirecionam os visitantes para falsos fóruns de discussão e de perguntas e respostas.

Os pesquisadores encontraram cerca de 20 mil arquivos “envenenados”, usados como parte da campanha de spam. O objetivo inicial dos bandidos seria gerar páginas indexadas, o suficiente para que elas ganhem autoridade. Quando o Google entende que certo endereço possui relevância, com tráfego aparentemente autêntico, o site melhora sua classificação e aparece com mais frequência e em posição destacada nos feeds e resultados de buscas.

Exemplo de página maliciosa que tenta ganhar autoridade nos resultados de busca do Google (Imagem: Reprodução/Sucuri)
Exemplo de página maliciosa que tenta ganhar autoridade nos resultados de busca do Google (Imagem: Reprodução/Sucuri)

O principal objetivo dos cibercriminosos seria usar a popularidade e a falsa confiabilidade da página para distribuir malwares e páginas de phishing, além de explorar os sites como geradores de tráfego de anúncios fraudulentos. É uma campanha com certa sofisticação, porque envolve a manipulação do sistema do Google a longo prazo, já que, em menos tempo, a própria Gigante das Buscas notaria uma atividade suspeita cheia de infecções.

Como funciona a campanha de manipulação das buscas do Google

Segundo relatos dos pesquisadores da Sucuri, os bandidos modificam arquivos PHP do WordPress, como para injetar os redirecionamentos a páginas falsas. Em alguns casos, os invasores lançam seus próprios arquivos PHP no site de destino, usando nomes aleatórios ou parecidos com legítimos, como “wp-logln.php”.

Os arquivos infectados ou injetados contêm o código malicioso que verifica se os visitantes do site estão logados no WordPress, e, se não estiverem, redireciona-os para uma URL que finge ser uma imagem. Dessa forma, o conteúdo “envenenado” com uma aplicação em JavaScript foge da detecção dos navegadores, e leva os usuários para as páginas falsas.

Os pesquisadores descobriram redirecionamento para vários domínios e subdomínios, em uma lista com quase 1,2 mil endereços. Os mais populares são esses:

  • pt.w4ksa[.]com

  • paz.yomeat[.]com

  • qa.bb7r[.]com

  • pt.ajeel[.]store

  • qa.istisharaat[.]com

  • pt.photolovegirl[.]com

  • pt.poxnel[.]com

  • qa.tadalafilhot[.]com

  • question.rawafedpor[.]com

  • qa.elbwaba[.]com

  • question.firstgooal[.]com

  • qa.cr-halal[.]com

  • qa.aly2um[.]com

Uma das maiores dificuldades para encontrar os responsáveis pela campanha se deve ao fato de a maioria dos sites falsos se esconderem bem por trás de servidores Cloudflare. Contudo, como todos as páginas maliciosas possuem modelos de criação semelhantes, parecem vir de ferramentas automatizadas — então, é provável que todos tenham origens parecidas.

Como isso tudo possivelmente começa a partir de vulnerabilidades no WordPress, é preciso ficar atento às notícias sobre brechas na plataforma de blogs. E, claro, acima de tudo, atualizar todos os plugins do WordPress e CMS do site para a versão mais recente, além de ativar a autenticação de dois fatores (2FA) nas contas de administrador.

Fonte: Canaltech

Trending no Canaltech: