.
Pesquisas aparentemente inocentes podem tentá-lo com links infestados de malware.
Se infectar com malware não é apenas clicar em um arquivo errante, mas geralmente ocorre porque um ecossistema inteiro é criado por invasores para enganá-lo e fazê-lo realmente clicar. Essa é a técnica por trás de algo chamado envenenamento de SEO, em que pesquisas aparentemente inocentes podem tentá-lo com links infestados de malware.
A cadeia de malware começa por um invasor que gera cargas de conteúdo falso da Web que se destinam a “emprestar” ou pegar carona na reputação de um site legítimo. As falsificações contêm o malware e conseguem que os resultados da pesquisa apareçam mais nos mecanismos de pesquisa da Internet usando pares de invasores: um faz a pergunta em um fórum, enquanto o outro “responde” com um link que contém o malware.
Dessa forma, os invasores podem atrair vítimas com maior probabilidade de ver e confiar nos resultados da pesquisa com uma classificação mais alta. Essas conversas envenenam os fóruns online da Internet com vários links que apontam para um arquivo ZIP. O arquivo contém o estágio inicial do malware. Os estágios posteriores coletam dados sobre seu endereço IP e outras informações do usuário e rastreiam seu endpoint para garantir que ele esteja executando o Windows e atenda a outros critérios de destino.
Um desses ataques de envenenamento foi visto recentemente envolvendo o malware GootLoader. Este é um pacote de malware JavaScript em vários estágios que existe desde o final de 2020. A CISA nomeou GootLoader um principal cepa de malware de 2021. No início deste ano, foi usuários direcionados à procura de acordos de delação, mas ultimamente, os agentes de ameaças estão mirando usuários que estão prestes a ser demitidos e procurando por serviços de transição e outros documentos relacionados com o emprego.
Os pesquisadores atribuíram o malware a um grupo que eles chamam de TAC-011, que está em operação há vários anos e comprometeu centenas de Sites WordPress.
Como lutar contra ataques de envenenamento de SEO
Existem várias medidas proativas que você pode tomar para combater esses tipos de ataques. Em primeiro lugar, preste atenção ao que você está visualizando na página de resultados de pesquisa. Embora o link envenenado pareça legítimo, ele geralmente não sobrevive a uma inspeção mais detalhada. Por exemplo, os documentos de transição citados acima foram incluídos em um site de streaming de esportes – é assim que esses resultados ganham impulso no Google e aparecem mais altos nos rankings de SEO. Estar ciente do que você está prestes a clicar é sempre um bom conselho.
Em segundo lugar, você também deve prestar atenção a todos os links incluídos em uma página de pesquisa e combinar o que o texto diz com o URL específico. Em seguida, use as Diretivas de Grupo do Windows para impedir que tipos de arquivos mal-intencionados (o GootLoader usa arquivos JavaScript) sejam executados automaticamente. Os pesquisadores estão acompanhando Sites falsos do GootLoader e novas táticas.
Por fim, quaisquer documentos relacionados ao RH devem estar disponíveis em servidores internos e devem deixar essa situação – bem como solicitar o documento apropriado – clara para os funcionários.
.
