Um novo ator de ameaças, apelidado de “Ghostredirector”, está conduzindo uma campanha sofisticada de manipulação de otimização de mecanismos de pesquisa (SEO), destinada a aumentar artificialmente o ranking de pesquisa de sites de jogo. Os pesquisadores da ESET acreditam que o grupo provavelmente está sediado na China. A operação, que começou por volta de agosto de 2024, envolve comprometer sites em execução nos servidores da Web Windows e implantar ferramentas de malware para escalar privilégios, manter persistência e manipular os rastreadores de indexação do site do Google. Dezenas de sites foram afetados, principalmente no Brasil, Vietnã e Tailândia. Um pequeno número de sites comprometidos é baseado nos EUA, mas parece pertencer a empresas com operações primárias nos países -alvo. A análise da ESET revelou que as vítimas abrangem uma ampla gama de setores, incluindo assistência médica, educação, transporte, seguro, varejo e tecnologia, sugerindo que a segmentação não é específica do setor. A cadeia de ataques começa com o ghostredirtor obtendo acesso inicial aos servidores da Web Windows, provavelmente explorando vulnerabilidades de injeção SQL não patches. Uma vez lá dentro, o ator de ameaças usa o PowerShell para baixar um conjunto de ferramentas de malware, incluindo dois componentes invisíveis que o ESET rastreia como Rungan e Gamshen. A escalada de privilégios é alcançada usando duas explorações conhecidas, efspotato e badpotato. Rungan é um backdoor passivo escrito em C ++ que concede aos atacantes acesso remoto a servidores da Web comprometidos e permite que eles executem comandos arbitrários. Gamshen é um componente Native Internet Information Services (IIS) com recursos maliciosos. O IIS é o software do servidor web da Microsoft que alimenta muitos sites baseados no Windows. Possui uma arquitetura modular que os desenvolvedores podem usar para estender ou adicionar novos recursos do servidor da Web. Depois de instalado, um componente Nativo do IIS opera no nível do servidor com altos privilégios, dificultando a detecção e a remoção. A função principal de Gamshen é injetar secretamente links para sites que o Ghostredirector deseja promover. Quando o Googlebot do Google visita um site comprometido para indexá -lo, Gamshen detecta o rastreador do mecanismo de pesquisa e injeta links apontando para o site de destino para o conteúdo da página. Isso cria backlinks a partir de sites legítimos, mas comprometidos, aumentando artificialmente os rankings de pesquisa dos sites de jogo alvo. O ESET descreveu extensões maliciosas do IIS, como a Gamshen como ferramentas para “interceptar solicitações HTTP recebidas no servidor IIS comprometido e afetar como o servidor responde a (algumas dessas) solicitações”. A Microsoft também reconheceu a ameaça representada por extensões maliciosas do IIS, alertando que os adversários podem usá -los para estabelecer backdoors persistentes em servidores críticos da Web. O Splunk emitiu um aviso em julho sobre os atores de ameaças que combinam explorações para múltiplas vulnerabilidades cruciais do SharePoint com módulos maliciosos do IIS para obter profunda persistência em sistemas vulneráveis. De acordo com a Microsoft, os backdoors do IIS são difíceis de detectar porque “eles residem principalmente nos mesmos diretórios que os módulos legítimos usados ​​pelos aplicativos de destino e seguem a mesma estrutura de código que os módulos limpos”. Ghostredirector não é o primeiro ator de ameaças da China a empregar técnicas de envenenamento por SEO. A Cisco Talos informou no ano passado que a Dragonfly, outro ator chinês, usou uma técnica semelhante com malware chamado badiis. O ESET recomenda que as organizações usem contas dedicadas, senhas fortes e autenticação de vários fatores para administradores de servidores IIS. A empresa também aconselha que os administradores garantem que os módulos nativos do IIS só possam ser instalados de fontes confiáveis ​​e sejam assinados por um fornecedor de confiança.

Source: Eset encontra a campanha Ghostredirector Seo direcionando sites de jogo