Grupo GhostRedirector compromete servidores no Brasil e em outros países
Pesquisadores de cibersegurança da ESET revelaram um novo grupo de ameaças, denominado GhostRedirector, que comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã. Os ataques, que começaram em agosto de 2024, utilizam uma backdoor em C++ chamada Rungan e um módulo do Internet Information Services (IIS) chamado Gamshen. O objetivo do Gamshen é manipular resultados de busca, promovendo fraudes de SEO, enquanto a Rungan permite a execução de comandos em servidores comprometidos. O grupo também utiliza técnicas de injeção SQL para obter acesso inicial e ferramentas como PowerShell para implantar malware adicional. A ESET sugere que o GhostRedirector está alinhado a atores de ameaças da China, com indícios de que as fraudes de SEO estão direcionadas a sites de jogos de azar. A manipulação de SEO pode prejudicar a reputação de sites legítimos, associando-os a práticas desonestas. O impacto é significativo, afetando setores variados, como educação, saúde e tecnologia, e requer atenção urgente das equipes de segurança cibernética.