Pesquisadores de cibersegurança da Cisco Talos investigam um grupo de hackers chineses conhecido como UAT-8099, apontado como responsável pela manipulação de mecanismos de busca, como SEO, para infectar servidores e usuários no Brasil e no mundo. Com isso, são roubadas credenciais, arquivos de configuração e certificados das vítimas.
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
O alvo principal são servidores IIS da Microsoft (IIS), com infecções sendo reportadas no Brasil, Canadá, Índia, Tailândia e Vietnã, desde universidades e empresas de tecnologia a operadoras telefônicas. O grupo de cibercriminosos foi identificado pela primeira vez em abril deste ano, atacando primeiramente usuários mobile.
Invadindo servidores IIS
Segundo a análise dos especialistas, o UAT-8099 manipula os resultados de pesquisa focando em servidores IIS de alto valor. Com o uso de web shells e ferramentas de hacking open-source, como Cobalt Strike, eles se mantêm em alta nos rankings de SEO, espalhando malwares BadIIS. Primeiro, são encontrados servidores vulneráveis, tanto por má configuração na ferramenta de upload de arquivos quanto por brechas de segurança.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Com isso, são feitas backdoors para persistir no sistema do servidor mesmo após deleção de arquivos maliciosos. Ferramentas como VPN SoftEther, EasyTier e proxy reverso ainda ajudam os criminosos a continuarem evitando a detecção no local das vítimas. É usada a interface gráfica de usuário (GUI) Everything para buscar dados valiosos, guardando as informações para venda posterior ou exploração mais profunda do servidor. Ainda não é claro o número de vítimas.
O malware BadIIS usado nos casos recentes, segundo os pesquisadores, é uma variante com código mais moderno que inclui táticas de evasão de antivírus. Seu funcionamento é similar ao do Gamshen, onde o componente de manipulação de SEO é ativado apenas quando a requisição vem do Google, imitando a ação de um usuário. O vírus age tanto como proxy quanto como injetor e fraudador de SEO, se aproveitando de backlinks para aparecer mais nas buscas.
Leia mais:
- Criptografia para iniciantes: o que é e por que é importante?
- O que é firewall e como ele funciona?
- O que é phishing e como se proteger?
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Leia a matéria no Canaltech.
