Especialistas detectaram duas campanhas de SEO Poisoning — a contaminação dos resultados do motor de buscas do Google para atrair vítimas a baixarem arquivos que contenham ransomware.
Os cibercriminosos, nesse tipo de ataque, alteram as páginas legítimas inserindo termos com procura alta no motor de busca, aumentando a relevância do endereço artificialmente. Entretanto, os links das páginas também são adulterados, fazendo a vítima baixar o programa malicioso sem levantar suspeita.
A tática está em uma relativa crescente
De acordo com pesquisas, cerca de 2 mil resultados foram comprometidos que levam a downloads de arquivos PDF contaminado com backdoors — malwares que abrem brechas em sistemas para instalar outros programas maliciosos.
Na primeira dessas campanhas, os links foram utilizados para disseminar o backdoor SolarMarker. Na segunda, o malware Gootloader abria espaço para instalação do REvil.
A maioria dos SEO Poisoning atingiam sites em WordPress
De acordo com a análise, as duas campanhas de SEO Poisoning disseminavam Ransomware a partir de sites estruturados em WordPress. Endereços de amplo acesso, em domínios normalmente confiáveis, como “.gov” e “.edu”, foram atingidos pelos cibercriminosos.
A redistribuição de links maliciosos acontecia através de uma interferência no plugin Formidable Forms, usado para uma série de cálculos, formulários e pesquisas. Os três setores mais comprometidos foram:
Quer saber mais sobre o ransomware? Clique aqui e acompanhe as atualizações constantes da Brasiline Tecnologia sobre os ataques ransomware.
CTO da Brasiline explica como funciona a solução SIEM
Brasiline Cyber Papo Podcast: Um Novo Canal de Conhecimento em Cibersegurança
