Pesquisadores em cybersecurity revelaram um cluster de ameaças até então não documentado, chamado GhostRedirector, que conseguiu comprometer pelo menos 65 servidores Windows localizados principalmente no Brasil, Tailândia e Vietnã.
De acordo com a empresa eslovaca de cybersecurity ESET, os ataques levaram à implantação de um backdoor passivo em C++ denominado Rungan e um módulo nativo do Internet Information Services (IIS) com codinome Gamshen.
Acredita-se que o ator da ameaça esteja ativo desde pelo menos agosto de 2024.
“Enquanto o Rungan possui a capacidade de executar comandos em um servidor comprometido, o propósito do Gamshen é oferecer SEO fraud como um serviço, ou seja, manipular os resultados dos mecanismos de busca para aumentar o ranking da página de um website alvo configurado,” explicou o pesquisador da ESET, Fernando Tavella, em um relatório compartilhado com o The Hacker News.
“Embora o Gamshen modifique as respostas somente quando a requisição vem do Googlebot — ou seja, ele não serve conteúdo malicioso nem afeta visitantes regulares dos sites — a participação no esquema de fraude de SEO pode prejudicar a reputação do site hospedado no servidor comprometido, ao associá-lo a técnicas obscuras de SEO e a sites com o ranking artificialmente elevado.”
Entre os outros alvos do grupo hacker estão países como Peru, Estados Unidos, Canadá, Finlândia, Índia, Holanda, Filipinas e Singapura.
A atividade é considerada indiscriminada, afetando entidades dos setores de educação, saúde, seguros, transporte, tecnologia e varejo.
O acesso inicial às redes alvo é realizado por meio da exploração de uma vulnerabilidade, provavelmente uma falha de SQL injection, após a qual o PowerShell é utilizado para entregar ferramentas adicionais hospedadas em um servidor de staging (“868id[.]com”).
“Essa hipótese é sustentada pela observação de que a maioria das execuções não autorizadas de PowerShell se originaram do binário sqlserver.exe, que possui um procedimento armazenado chamado xp_cmdshell, utilizado para executar comandos na máquina,” apontou a ESET.
O Rungan foi projetado para aguardar requisições vindas de uma URL que corresponda a um padrão predefinido (por exemplo, “https://+:80/v1.0/8888/sys.html”), para então fazer o parsing e executar os comandos embutidos nelas.
Ele suporta quatro comandos distintos:
- mkuser: criar um usuário no servidor com o nome de usuário e senha fornecidos;
- listfolder: coletar informações de um caminho fornecido (em desenvolvimento);
- addurl: registrar novas URLs nas quais o backdoor pode escutar;
- cmd: executar um comando no servidor usando pipes e a API CreateProcessA.
Escrito em C/C++, o Gamshen é um exemplo de uma família de malwares específicos para IIS chamada “Group 13”, que pode atuar tanto como backdoor quanto para realizar fraude de SEO.
Sua funcionalidade é similar ao IISerpent, outro malware específico para IIS documentado pela ESET em agosto de 2021.
O IISerpent, configurado como uma extensão maliciosa para o software de servidor web da Microsoft, permite interceptar todas as requisições HTTP feitas aos sites hospedados pelo servidor comprometido, especialmente as originadas por crawlers de mecanismos de busca, alterando as respostas HTTP do servidor para redirecionar as buscas para websites fraudulentos escolhidos pelo atacante.
“O GhostRedirector tenta manipular o ranking de busca do Google de um site de terceiros específico, utilizando técnicas manipulativas e duvidosas de SEO, como a criação de backlinks artificiais do site legítimo comprometido para o site alvo,” explicou Tavella.
Ainda não se sabe para onde esses backlinks redirecionam os usuários desavisados, mas acredita-se que o esquema de fraude de SEO está sendo usado para promover diversos sites de apostas.
Além do Rungan e do Gamshen, outras ferramentas também são implantadas:
- GoToHTTP, para estabelecer uma conexão remota acessível via navegador web;
- BadPotato ou EfsPotato, para criar um usuário privilegiado no grupo de Administradores;
- Zunput, para coletar informações sobre sites hospedados no servidor IIS e implantar web shells em ASP, PHP e JavaScript.
Há uma avaliação de confiança média de que o GhostRedirector seja um ator de ameaça alinhado à China, com base na presença de strings hard-coded em chinês no código-fonte, um certificado de assinatura de código emitido para uma empresa chinesa, Shenzhen Diyuan Technology Co., Ltd., utilizado para assinar artefatos de escalonamento de privilégios, e o uso da senha “huang” para um dos usuários criados pelo GhostRedirector no servidor comprometido.
Dito isso, o GhostRedirector não é o primeiro ator de ameaça vinculado à China a usar módulos maliciosos para IIS para fraudes de SEO.
Nos últimos anos, tanto a Cisco Talos quanto a Trend Micro documentaram um grupo de língua chinesa conhecido como DragonRank que também realiza manipulação de SEO utilizando o malware BadIIS.
“O Gamshen abusa da credibilidade dos sites hospedados no servidor comprometido para promover um site de apostas de terceiros — potencialmente um cliente pagante que participa de um esquema de SEO fraud como um serviço,” afirmou a empresa.
O GhostRedirector também demonstra persistência e resiliência operacional ao implantar múltiplas ferramentas de acesso remoto no servidor comprometido, além de criar contas de usuários maliciosas, tudo para manter acesso de longo prazo à infraestrutura comprometida.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...