Seo

Pesquisadores de cibersegurança alertam sobre um site que promete remover fundos de selfies, mas que na verdade distribui malware. Através de técnicas de SEO, o site malicioso aparece entre os primeiros resultados de busca, enganando usuários que buscam ferramentas legítimas. Ao tentar usar o serviço, os usuários são instruídos a executar um comando no Windows, o que resulta na instalação do CastleLoader, um loader que permite a instalação de outros malwares, como o NetSupport RAT e o CastleStealer. O NetSupport RAT é um trojan de acesso remoto que concede controle total ao atacante, enquanto o CastleStealer é um malware que visa roubar credenciais de navegadores, dados de carteiras de criptomoedas e tokens de aplicativos como Discord e Telegram. A campanha destaca a importância da educação em cibersegurança, pois serviços legítimos não pedem que os usuários realizem atividades locais para verificar sua identidade. Para mitigar esses ataques, recomenda-se que administradores desativem o atalho Win + R e que os usuários estejam cientes dos riscos associados a downloads de ferramentas desconhecidas.

A gangue de cibercrime conhecida como Black Cat está por trás de uma campanha de envenenamento de SEO que utiliza sites fraudulentos para enganar usuários a baixarem um backdoor capaz de roubar dados sensíveis. Segundo um relatório do CNCERT/CC e da ThreatBook, a estratégia envolve posicionar sites falsos no topo dos resultados de busca em motores como o Bing, visando usuários que procuram por softwares populares como Google Chrome e Notepad++. Ao acessar essas páginas de phishing, os usuários são levados a baixar pacotes de instalação que contêm programas maliciosos. Uma vez instalado, o malware cria uma porta dos fundos no sistema, permitindo que os atacantes acessem informações privadas. A gangue está ativa desde 2022 e, em 2023, teria roubado cerca de $160.000 em criptomoedas. Recentemente, cerca de 277.800 dispositivos foram comprometidos na China, com um pico de 62.167 máquinas comprometidas em um único dia. Para se proteger, os usuários devem evitar clicar em links de fontes desconhecidas e utilizar apenas fontes confiáveis para downloads.

Pesquisadores da Doctor Web identificaram um novo trojan chamado ChimeraWire, que afeta o ranqueamento de resultados no Google Chrome. Este malware não se limita ao roubo de dados, mas simula a atividade de usuários reais para aumentar a visibilidade de sites específicos, manipulando o SEO através de buscas automatizadas e cliques falsos. O ChimeraWire opera em duas cadeias de instalação: a primeira envolve a instalação de um programa que verifica a legitimidade do sistema e, se aprovado, instala um script malicioso. A segunda cadeia utiliza um instalador que simula processos legítimos do Windows, explorando vulnerabilidades para obter acesso ao sistema. Uma vez instalado, o trojan adiciona extensões que burlam CAPTCHAs e se conecta a um servidor de comando, permitindo a manipulação de tráfego falso. Além disso, o malware possui recursos adicionais, como leitura de conteúdo de páginas e captura de tela, que podem ser utilizados pelos operadores. A detecção do ChimeraWire é complicada, pois até o momento, 66 antivírus não conseguiram identificá-lo.

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.