0
0
Por Felipe Gugelmin
Qualquer site da internet que queira ganhar destaque no Google atualmente tem ao menos noções básicas de SEO (Search Engine Optimization, ou Motor de Otimização de Busca) — sistema que mistura palavras-chave e assuntos de interesse público, entre outros elementos, para ajudar a destacar páginas no buscador. Enquanto isso ajuda a destacar conteúdos interessantes e com qualidade, o conhecimento dessas técnicas também está sendo usado por cibercriminosos para espalhar malwares.
Uma análise conduzida pelo time de segurança da AT&T mostra que os operadores responsáveis pelo ransomware Sodinikini se especializaram em abusar do uso de palavras-chave para destacar sites perigosos no sistema de buscas. No caso analisado pela empresa, uma pessoa foi infectada por um arquivo JavaScript malicioso após acessar um site que aparecia em oitavo lugar no buscador após a pesquisa pelo termo “reciprocidade fiscal em Missouri e Kansas”.
“Há um ditado que diz que nada é certeza, a não ser a morte e os impostos; no cenário de ameaças virtuais de hoje, podemos adicionar ransomware a essa lista”, afirmou o pesquisador Ken Ng. “Nesse incidente, um de nossos consumidores quase teve um incidente que cruzou impostos e ransomware”.
Foco no SEO
O malware, que poderia ter resultado no sequestro digital da máquina usada pelo usuário, foi parado graças às proteções automáticas que ele usava. No entanto, a AT&T continuou investigando o caso e descobriu as origens do ataque através do nome do arquivo e de um documento PDF que havia sido baixado de um domínio legítimo.
A empresa concluiu que o domínio que abrigava a ameaça usava o protocolo HTTP (e não o HTTPS, considerada uma opção mais segura) e mostrava um título de página que nada tinha a ver com seu endereço. O site não trazia nenhum elemento atraente, tendo sido feito estritamente com o SEO em mente e trazendo somente um link com a suposta resposta para a pergunta “o Missouri tem um acordo de reciprocidade com o Kansas?”.
Para a AT&T, o caso gera preocupações devido à especificidade do termo de buscas que foi abusado pelos cibercriminosos — e deixa no ar a pergunta sobre quais outras combinações de palavras-chave estão sendo visadas por eles. Para se proteger desse tipo de ação, empresas e usuários devem contar com proteções antimalwares atualizadas em seus sistemas e evitar o download de qualquer site com o protocolo HTTP, bem como de qualquer fonte que não seja familiar e confiável.
Essa não é a primeira vez que o uso de técnicas de SEO é usada para espalhar malwares. Em março deste ano, a Sophos identificou uma gangue que usava uma rede de 400 servidores para substituir páginas legítimas pela interface falsa de um fórum de discussões, que colocava em destaque a resposta exata da busca feita pelas vítimas em um link direto para o download de ameaças.
FONTE: CANALTECH