Pesquisadores encontraram um novo agente de ameaças, nomeado GhostRedirector. De acordo com a ESET, que mapeou a atividade, o grupo atua em mais de 65 servidores Windows globalmente.
Os alvos com maior incidência são Brasil, Tailândia e Vietnã – mas Estados Unidos, Canadá, Finlândia e Índia também registraram invasões. A investigação revelou que GhostRedirector usou duas técnicas não muito exploradas: um backdoor passivo C++, chamado de Rungan e um módulo malicioso de Serviços de Informações da Internet (IIS) nomeado Gamshen.
Rungan e Gamshen: backdoor e módulo malicioso
O Rungan é um backdoor, ou seja, uma forma de acessar sistemas, apps e redes de forma não autorizada. O fato dele ser desenvolvido em C++, adiciona uma camada a mais de gravidade, uma vez que esse tipo de linguagem de código permite controle remoto direto sobre o hardware do computador.
Já o Gamshen, funciona como um módulo malicioso para IIS – que é um tipo de servidor Web criado pela Microsoft para seus sistemas operacionais, que manipula o tráfego. Sua principal função é detectar quando quem está navegando na web é o Googlebot – um robô do Google que rastreia a internet.
Assim, ele consegue cometer fraudes de SEO (Otimização para Mecanismos de Busca). Na prática, isso permite que os criminosos coloquem sites fraudulentos no topo das pesquisas, para que eles estejam entre os primeiros resultados das buscas do Google, sem alertar os usuários comuns.
Para evitar serem excluídos por dispositivos de segurança, os atacantes também usam técnicas conhecidas como EfsPotato e BadPotato. Esses são exploits públicos – códigos que exploram vulnerabilidades de segurança de forma aberta.
Isso torna possível que os criminosos criem contas de administrador, para manter o acesso mesmo após varreduras de antivírus, por exemplo. Além disso, esses exploits podem ser usados para baixar e executar outros componentes maliciosos com privilégios mais altos, tudo para evitar que eles percam acesso ao servidor invadido.
A investigação revelou que não há um alvo certo. Os criminosos já miraram servidores ligados à setores como educação, saúde, seguros, transporte, tecnologia e varejo. É possível que os principais alvos sejam apenas sistemas vulneráveis.
Também como medida protetiva, eles instalam o GoToHTTP. Com esta ferramenta, os cibercriminosos têm uma “porta de serviço” paralela, legítima aos olhos do sistema, que permite voltar a qualquer momento, mesmo se os outros malwares forem removidos. Ou seja, o GoToHTTP é mais um jeito de manter a invasão viva e discreta, garantindo que o esquema de SEO fraudulento continue funcionando sem interrupções.
Especialistas não sabem quem está por trás do esquema
A ESET afirmou que não é possível bater o martelo em quem está por trás desse ataque – mas, indícios levam à hackers chineses. Afinal, os investigadores encontraram trechos de código em chinês, certificados digitais emitidos para empresas da China e até senhas criadas com palavras em mandarim. Para a empresa de segurança, esses detalhes são pistas, não provas concretas.
O GhostRedirector não é o primeiro caso de um agente de ameaça ligado à China envolvido em fraudes de SEO por meio de módulos IIS maliciosos. No ano passado, a Cisco Talos identificou um agente de ameaças alinhado à China chamado DragonRank, que conduz fraudes em SEO. Ambos os agentes miraram em vítimas parecidas.
O DragonRank foi identificado na Tailândia e Índia – assim como o GhostRedirector – e também na Holanda. Também não havia indícios de setores-alvo, já que o DragonRank atacou instituições de saúde, transporte e TI. Apesar dessas semelhanças, a ESET afirma que não há razão para acreditar que ambos os grupos estão ligados.
É possível se proteger?
Por não saber quem pode ser alvo dessa operação, é possível tomar algumas precauções – e medidas de segurança – para evitar intercorrências. Conforme o detalhamento da própria ESET, todos os passos, desde a instalação do Rungan, Gamshen, EfsPotato e BadPotato, ao GoToHTTP, reforçam a importância de aplicar patches rapidamente, monitorar módulos e bloquear acessos não autorizados.
Assim, é bom adotar algumas medidas de segurança para respaldar os sistemas e evitar vulnerabilidades que possam ser exploradas.
- Atualizar Windows e IIS: aplicar patches de segurança o quanto antes;
- Restringir exposição do IIS: só o necessário fica acessível na internet;
- Monitorar módulos e contas: verificar DLLs estranhas no IIS e criação de contas admin;
- Auditar logs de acesso: checar se há respostas diferentes para o Googlebot;
- Usar EDR/antivírus no servidor: detectar backdoors e comportamento suspeito;
- Bloquear softwares de acesso remoto não autorizados (tipo GoToHTTP);
- Ter plano de resposta a incidentes: manter backups prontos e equipe preparada.
Se quiser saber mais sobre golpes e ataques cibernéticos, acompanhe o TecMundo nas redes sociais e no YouTube. Para receber notícias sobre tecnologia e segurança, se inscreva em nossa newsletter.
