Pesquisas aparentemente inocentes podem tentá-lo com links infestados de malware.
Ser infectado por malwares não é apenas ter clicado num arquivo ou link, mas geralmente ocorre porque um ecossistema inteiro é criado por cibercriminosos para enganá-lo e fazê-lo realmente clicar. Essa é a técnica por trás de algo chamado envenenamento de SEO, em que pesquisas aparentemente inocentes podem tentá-lo com links infestados de malwares.
A cadeia de malwares começa por um invasor que gera conteúdo falso na internet para “pegar carona” na reputação de um site legítimo. As falsificações contêm os malwares e conseguem que os resultados da pesquisa apareçam acima nos mecanismos de pesquisa da internet usando pares de invasores: um faz a pergunta em um fórum, enquanto o outro “responde” com um link que contém o malware.
Dessa forma, os invasores podem atrair vítimas com maior probabilidade de ver e confiar nos resultados da pesquisa com uma classificação mais alta. Essas conversas envenenam os fóruns online da internet com vários links que apontam para um arquivo .zip. O arquivo contém o estágio inicial de infecção pelos malwares. Os estágios posteriores coletam dados sobre o seu endereço IP entre outras informações, rastreiam o seu dispositivo para garantir que ele esteja executando o Windows e atenda a outros critérios de destino.
Um desses ataques de envenenamento foi visto recentemente envolvendo o malware GootLoader*. Este é um pacote de malware JavaScript de vários estágios que está em uso desde o final de 2020. A CISA classificou o GootLoader como uma das principais variantes de malware* de 2021. No início deste ano, ele tinha como alvo usuários em busca de acordos de delação premiada*, mas, ultimamente, os agentes de ameaças estão mirando em usuários prestes a serem demitidos e em busca de serviços de transição de carreira e outros documentos relacionados ao emprego.
Os pesquisadores atribuíram os malwares a um grupo chamado de TAC-011, que está em operação há vários anos e comprometeu centenas de sites WordPress legítimos*.
Como lutar contra os ataques de envenenamento de SEO
Existem várias medidas proativas que você pode tomar para combater esses tipos de ataques. Em primeiro lugar, preste atenção ao que você está visualizando na página de resultados de pesquisa. Embora o link envenenado pareça legítimo, ele geralmente não sobrevive a uma inspeção mais detalhada. Por exemplo, os documentos de transição citados acima foram incluídos em um site de streaming de esportes, porque é assim que esses resultados ganham impulso no Google e aparecem mais altos nos rankings de SEO. Estar ciente sobre o que você está prestes a clicar é sempre um bom conselho.
Em segundo lugar, você também deve prestar atenção a todos os links incluídos em uma página de pesquisa e combinar o que o texto diz com o URL específico. Em seguida, use as Diretivas de Grupo do Windows para impedir que tipos de arquivos mal-intencionados (o GootLoader usa arquivos JavaScript) sejam executados automaticamente. Os pesquisadores estão acompanhando os sites falsos do GootLoader e as novas táticas.
Por fim, quaisquer documentos relacionados ao RH devem estar disponíveis em servidores internos e devem deixar essa situação — bem como solicitar o documento apropriado — clara para os funcionários.
* Original em inglês.
