Uma ampla operação maliciosa cibernética tem sequestrado milhares de sites direcionados ao público asiático oriental para redirecionar visitantes para conteúdo adulto desde o início de setembro de 2022.
A campanha em curso envolve a injeção de código JavaScript malicioso nos sites hackeados, muitas vezes conectando-se ao servidor da web de destino usando credenciais legítimas de FTP que o agente de ameaças obteve anteriormente por um método desconhecido.
"Em muitos casos, eram credenciais auto-geradas altamente seguras de FTP que o atacante conseguiu adquirir e aproveitar para sequestro de sites", disse Wiz em um relatório publicado neste mês.
O fato de os sites violados - de propriedade tanto de pequenas empresas quanto de corporações multinacionais - utilizarem diferentes pilhas tecnológicas e provedores de serviços de hospedagem tornou difícil rastrear um vetor de ataque comum, observou a empresa de segurança em nuvem.
Dito isso, um dos denominadores comuns entre os sites é que a maioria deles é hospedada na China ou hospedada em um país diferente, mas é direcionada a usuários chineses.
Além disso, os URLs que hospedam o código JavaScript malicioso são geocercados para limitar sua execução em certos países do leste asiático.
Também há indicações de que a campanha tem como alvo o Android, com o script de redirecionamento levando os visitantes a sites de jogos de azar que os instigam a instalar um aplicativo (nome de pacote APK "tyc9n1999co").
A identidade do agente de ameaças ainda é desconhecida e embora seus motivos precisos ainda não tenham sido identificados, suspeita-se que o objetivo seja realizar fraudes publicitárias e manipulação de SEO, ou alternativamente, atrair tráfego inorgânico para esses sites.
Outro aspecto notável dos ataques é a ausência de phishing, skimming ou infecção por malware.
"Permanecemos incertos sobre como o agente de ameaças tem obtido acesso inicial a tantos sites e ainda não identificamos nenhuma similaridade significativa entre os servidores afetados, exceto pelo uso de FTP", disseram os pesquisadores Amitai Cohen e Barak Sharoni.
"Embora seja improvável que o agente de ameaças esteja usando uma vulnerabilidade 0-day dada a aparente baixa sofisticação do ataque, não podemos descartar essa opção."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...