Campanha de SEO poisoning leva colaboradores a descarregar malware

Investigadores descobriram uma campanha de SEO poisining que visa colaboradores de múltiplas indústrias e setores governamentais, quando pesquisam termos específicos, relevantes nas suas áreas. Ao clicar nos resultados de pesquisa maliciosos, artificialmente colocados no topo da página, os visitantes são levados a um conhecido downloader de malware JavaScript.

“As nossas descobertas sugerem que a campanha pode ter influência de um serviço de inteligência estrangeiro através de uma análise dos temas dos blog posts”, afirmam investigadores da empresa de segurança Deepwatch, citados pela CSO. Alguns dos tópicos são altamente específicos e aliciariam vítimas de setores de interesse a foreign intelligence services. A Threat Intel Team descobriu que os atores criaram 192 posts num site.

Os investigadores deparam-se com a campanha enquanto investigavam um incidente num cliente, quando um colaborador procurou “transition services agreement” no Google e acabou por ser levado a um site com o que parecia ser uma thread de um fórum em que os utilizadores partilhavam um link para uma pasta zip, que continha um ficheiro chamado “Accounting for transition services agreement”, com uma extensão .js (JavaScript) que era uma variante do Gootloader, um downloader de malware conhecido por infetar os dispositivos com o Trojan Gootkit, entre outros tipos de malware.

Ao olharem para essa página, os investigadores perceberam que se tratava de um site de distribuição de streaming desportivo que, com base no seu conteúdo, era, muito provavelmente, legítimo. No entanto, escondidos na estrutura estavam mais de 190 posts de blog sobre vários tópicos que seriam de interesse para profissionais que trabalham em diferentes setores da indústria. Estas publicações de blog só podem ser alcançadas através dos resultados de pesquisa do Google.

“Os posts suspeitos abrangem temas que vão desde o governo, a temas legais ao imobiliário, saúde e educação”, dizem os investigadores. “Alguns posts cobrem tópicos relacionados com questões legais e empresariais específicas ou ações para estados dos EUA como Califórnia, Flórida e Nova Jersey. Outras publicações abrangem temas relevantes para a Austrália, Canadá, Nova Zelândia, Reino Unido, Estados Unidos e outros países”, explicam os especialistas.

Adicionalmente, os atacantes implementaram um mecanismo de tradução que permite traduzir automaticamente versões dos posts para português e hebraico, que, além disso, não são réplicas de outros conteúdos já existentes na internet.

“Dada a tarefa hercúlea de investigar e criar centenas de posts num blog, podemos assumir que há vários indivíduos a trabalhar em conjunto”, dizem os investigadores. “Contudo, a tarefa pode não ser completamente inviável para um indivíduo solitário, apesar do nível de esforço necessário para o fazer”. Contudo, a Deepwatch atribiu a campanha ao grupo a que chamam de TAC-011, que opera há vários anos, comprometendo centenas de sites WordPress e que poderá ter gerado milhares de publicações individuais de blogs para inflacionar os seus rankings de pesquisa no Google.