Ataque cibernético em larga escala sequestra sites do leste asiático para redirecionamento de conteúdo adulto
14 de Março de 2023

Uma ampla operação maliciosa cibernética tem sequestrado milhares de sites direcionados ao público asiático oriental para redirecionar visitantes para conteúdo adulto desde o início de setembro de 2022.

A campanha em curso envolve a injeção de código JavaScript malicioso nos sites hackeados, muitas vezes conectando-se ao servidor da web de destino usando credenciais legítimas de FTP que o agente de ameaças obteve anteriormente por um método desconhecido.

"Em muitos casos, eram credenciais auto-geradas altamente seguras de FTP que o atacante conseguiu adquirir e aproveitar para sequestro de sites", disse Wiz em um relatório publicado neste mês.

O fato de os sites violados - de propriedade tanto de pequenas empresas quanto de corporações multinacionais - utilizarem diferentes pilhas tecnológicas e provedores de serviços de hospedagem tornou difícil rastrear um vetor de ataque comum, observou a empresa de segurança em nuvem.

Dito isso, um dos denominadores comuns entre os sites é que a maioria deles é hospedada na China ou hospedada em um país diferente, mas é direcionada a usuários chineses.

Além disso, os URLs que hospedam o código JavaScript malicioso são geocercados para limitar sua execução em certos países do leste asiático.

Também há indicações de que a campanha tem como alvo o Android, com o script de redirecionamento levando os visitantes a sites de jogos de azar que os instigam a instalar um aplicativo (nome de pacote APK "tyc9n1999co").

A identidade do agente de ameaças ainda é desconhecida e embora seus motivos precisos ainda não tenham sido identificados, suspeita-se que o objetivo seja realizar fraudes publicitárias e manipulação de SEO, ou alternativamente, atrair tráfego inorgânico para esses sites.

Outro aspecto notável dos ataques é a ausência de phishing, skimming ou infecção por malware.

"Permanecemos incertos sobre como o agente de ameaças tem obtido acesso inicial a tantos sites e ainda não identificamos nenhuma similaridade significativa entre os servidores afetados, exceto pelo uso de FTP", disseram os pesquisadores Amitai Cohen e Barak Sharoni.

"Embora seja improvável que o agente de ameaças esteja usando uma vulnerabilidade 0-day dada a aparente baixa sofisticação do ataque, não podemos descartar essa opção."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...