Cuidado com o que você pesquisa! Uma análise da empresa de cibersegurança Menlo Security detectou duas campanhas de SEO Poisoning — a contaminação dos resultados do motor de buscas do Google para atrair vítimas a baixarem arquivos que contenham ransomware.

Neste tipo de ataque, os cibercriminosos alteram páginas legítimas inserindo termos com procura alta no motor de busca, aumentando a relevância do endereço artificialmente. No entanto, os links das páginas também são adulterados, fazendo a vítima baixar o programa malicioso sem sequer levantar suspeita.

publicidade

A tática está em uma relativa crescente: segundo a Menlo Security, cerca de 2 mil resultados foram comprometidos que levam a downloads de arquivos PDF contaminado com backdoors — malwares que abrem brechas em sistemas para instalar outros programas maliciosos.

Na primeira dessas campanhas, os links foram utilizados para disseminar o backdoor SolarMarker (que apesar do nome, nada tem a ver com a campanha da SolarWinds). Na segunda, o malware Gootloader abria espaço para instalação do REvil.

Maioria dos SEO Poisoning atingiam sites em WordPress

De acordo com a análise, as duas campanhas de SEO Poisoning disseminavam Ransomware a partir de sites estruturados em WordPress. Endereços de amplo acesso, em domínios normalmente confiáveis, como “.gov” e “.edu”, foram atingidos pelos cibercriminosos.

A redistribuição de links maliciosos acontecia através de uma interferência no plugin Formidable Forms, usado para uma série de cálculos, formulários e pesquisas. Os três setores mais comprometidos foram os de negócios (mais de 1000 PDFs maliciosos), seguidos de ONGs (400) e sites dos setores de saúde e e-commerces (200 cada).

Imagem: PR Image Factory/Shutterstock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!