Infectar-se com malware não é apenas clicar em um arquivo errado, mas geralmente ocorre porque um ecossistema inteiro é criado por invasores para enganá-lo e fazê-lo realmente fazer o clique. Essa é a técnica por trás de algo chamado envenenamento de SEO, em que pesquisas aparentemente inocentes podem tentá-lo com links infestados de malware.
A cadeia de malware começa por um invasor que gera cargas de conteúdo da Web falso que se destinam a “emprestar” ou pegar carona na reputação de um site legítimo. As falsificações contêm o malware e conseguem que os resultados da pesquisa apareçam mais nos mecanismos de pesquisa da Internet usando pares de invasores: um faz a pergunta em um fórum, enquanto o outro “responde” com um link que contém o malware.
Dessa forma, os invasores podem atrair vítimas com maior probabilidade de ver e confiar nos resultados de pesquisa com uma classificação mais alta. Essas conversas envenenam os fóruns online da Internet com vários links que apontam para um arquivo ZIP. O arquivo contém o estágio inicial do malware. Os estágios posteriores coletam dados sobre seu endereço IP e outras informações do usuário e rastreiam seu endpoint para garantir que ele esteja executando o Windows e atenda a outros critérios de destino.
Um desses ataques de envenenamento foi visto recentemente envolvendo o malware GootLoader. Este é um pacote de malware JavaScript em vários estágios que está disponível desde o final de 2020. A CISA nomeou o GootLoader uma maior variedade de malware de 2021. No início deste ano, ele tinha como alvo usuários que procuravam acordos judiciais,
, mas ultimamente, os agentes de ameaças estão mirando usuários que estão prestes a ser demitidos e procurando por serviços de transição e outros documentos relacionados ao emprego.
Pesquisadores atribuíram o malware a um grupo que eles chamam de TAC-011 que está em operação há vários anos e comprometeu centenas de sites WordPress legítimos.
Como lutar contra ataques de envenenamento de SEO
