hackers-exploram-servidores-windows-manipular-buscas-google
Hackers – Pesquisadores de cibersegurança identificaram um novo malware, batizado de GhostRedirector, que vem comprometendo servidores Windows ao redor do mundo. O grupo por trás da ameaça já atua em pelo menos 65 máquinas, com maior concentração de ataques no Brasil, Vietnã e Tailândia. Países como Estados Unidos, Canadá, Finlândia e Índia também foram afetados.
O esquema chama atenção por utilizar duas ferramentas pouco comuns: o Rungan, um backdoor desenvolvido em C++ que permite controle direto sobre o hardware do computador, e o Gamshen, módulo malicioso para o servidor web IIS da Microsoft. Esse último tem a função de identificar o tráfego do Googlebot – robô do Google responsável por rastrear a internet – e, assim, manipular resultados de busca.
LEIA: Mulher perde R$ 36 mil com golpista que dizia ser astronauta sem oxigênio
Na prática, a fraude beneficia sites controlados pelos criminosos, que aparecem artificialmente entre os primeiros resultados do Google, sem levantar suspeitas dos usuários.
Técnicas de persistência
Para dificultar a detecção, o grupo recorre a exploits conhecidos como EfsPotato e BadPotato, que exploram falhas de segurança para criar contas de administrador e manter o acesso mesmo após verificações de antivírus. Além disso, os atacantes instalam o GoToHTTP, um software de acesso remoto legítimo, mas utilizado como uma “porta de serviço” que garante o retorno ao servidor mesmo se outros malwares forem removidos.
Segundo a investigação, os alvos variam: há registros de ataques contra setores de saúde, educação, seguros, transporte, tecnologia e varejo. Especialistas avaliam que o critério principal é a vulnerabilidade dos sistemas, e não um segmento específico.
Possível origem
Embora não haja confirmação, evidências como trechos de código em chinês, certificados digitais emitidos para empresas da China e senhas em mandarim levantam a hipótese de que os responsáveis sejam hackers chineses. Ainda assim, a empresa de segurança ESET alerta que essas pistas não representam provas definitivas.
Casos anteriores reforçam a atenção: em 2024, o DragonRank, outro agente de ameaça alinhado à China, também utilizou módulos IIS para manipular resultados de busca, com alvos semelhantes em países como Índia, Tailândia e Holanda. Apesar das coincidências, não há indícios de ligação direta entre os dois grupos.
Como se proteger
A recomendação dos especialistas é reforçar as defesas contra vulnerabilidades conhecidas. Algumas medidas práticas incluem:
• Manter o Windows e o IIS atualizados com patches de segurança;
• Limitar a exposição do IIS apenas ao necessário;
• Monitorar módulos e contas suspeitas, como DLLs estranhas ou novos administradores;
• Auditar logs de acesso, especialmente respostas diferentes ao Googlebot;
• Utilizar soluções de EDR/antivírus nos servidores;
• Bloquear softwares de acesso remoto não autorizados, como o GoToHTTP;
• Ter um plano de resposta a incidentes, com backups e equipe preparada.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/DC Studio)
Sentimento de insatisfação na carreira nem sempre está ligado apenas ao cansaço, explicam especialistas
Criminosos estão comprometendo ferramentas usadas por desenvolvedores, criando ciclo de infecções capaz de atingir milhares…
Estudos apontam mudanças em áreas do cérebro ligadas à aprendizagem, memória e tomada de decisões