Um grupo de cibercriminosos conhecido como Black Cat foi identificado como responsável por uma campanha de SEO poisoning que utiliza sites falsos, anunciando programas populares para enganar usuários e induzi-los a baixar uma backdoor capaz de roubar dados sensíveis.
Segundo relatório do National Computer Network Emergency Response Technical Team/Coordination Center da China (CNCERT/CC), em parceria com a empresa de segurança Beijing Weibu Online (ThreatBook), a operação tem como objetivo posicionar estrategicamente esses sites fraudulentos entre os primeiros resultados em mecanismos de busca como Microsoft Bing.
O foco está nas pesquisas por softwares como Google Chrome, Notepad++, QQ International e iTools.
“Após acessar essas páginas de phishing bem ranqueadas, os usuários são direcionados a páginas de download cuidadosamente estruturadas, que tentam induzi-los a baixar pacotes de instalação contaminados com malware”, explicam CNCERT/CC e ThreatBook.
“Quando o programa é instalado, uma backdoor Trojan é inserida sem o conhecimento do usuário, permitindo que os atacantes roubem dados sensíveis do computador comprometido.”
O grupo Black Cat está ativo desde pelo menos 2022, realizando uma série de ataques focados no roubo de dados e no controle remoto dos sistemas infectados.
Em 2023, a organização teria furtado pelo menos US$ 160 mil em criptomoedas ao se passar pela AICoin, plataforma popular de negociação de moedas virtuais.
Na última onda de ataques, usuários que buscam por Notepad++ recebem links para um site de phishing convincente, que simula estar associado ao software (“cn-notepadplusplus[.]com”).
Outros domínios vinculados ao grupo incluem “cn-obsidian[.]com”, “cn-winscp[.]com” e “notepadplusplus[.]cn”.
A presença do código “cn” nesses domínios indica que os criminosos estão mirando especificamente usuários na China que pesquisam essas ferramentas pelos mecanismos de busca.
Caso o usuário desavisado clique no botão de download do site falso, ele é redirecionado para outro endereço que simula o GitHub (“github.zh-cns[.]top”), onde pode baixar um arquivo ZIP contendo um instalador.
Esse instalador cria um atalho na área de trabalho, que serve como ponto de entrada para carregar uma DLL maliciosa responsável por ativar a backdoor.
O malware se conecta a um servidor remoto pré-configurado (“sbido[.]com:2869”), possibilitando o roubo de dados do navegador, captura de teclas digitadas, extração do conteúdo da área de transferência e outras informações valiosas do computador infectado.
Segundo CNCERT/CC e ThreatBook, o Black Cat comprometeu cerca de 277.800 dispositivos na China entre 7 e 20 de fevereiro de 2025, atingindo um pico diário de mais de 62 mil máquinas infectadas.
Para reduzir os riscos, recomendam-se precauções como evitar clicar em links de fontes desconhecidas e baixar softwares apenas dos sites oficiais ou de fontes confiáveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...