Malware explora falha no Windows para manipular buscas no Google

Malware usa vulnerabilidade no Windows para fraudar pesquisas no Google e afetar resultados de buscas. Saiba mais e proteja seus sistemas.
Publicado dia 4/09/2025
Malware explora falha no Windows para manipular buscas no Google
(Imagem/Reprodução: Tecmundo)
Resumo da notícia
    • Grupo GhostRedirector usa malware para invadir servidores Windows e manipular buscas no Google com fraudes de SEO.
    • Você pode ser afetado se administrar sistemas vulneráveis sem atualizações e medidas de segurança adequadas.
    • Essa ameaça impacta diversos setores, como saúde, educação e varejo, ao manipular resultados de pesquisa online.
    • A adoção de patches e monitoramento constante é essencial para prevenir invasões e fraudes digitais.
CONTINUA DEPOIS DA PUBLICIDADE

Pesquisadores de segurança digital identificaram um novo grupo de ameaças batizado de GhostRedirector. De acordo com a empresa ESET, que monitorou as atividades, esse grupo já atua em mais de 65 servidores Windows espalhados pelo mundo. Os principais alvos estão no Brasil, Tailândia e Vietnã, mas há registros de invasões também nos Estados Unidos, Canadá, Finlândia e Índia.

A investigação da ESET mostra que o GhostRedirector usa duas técnicas incomuns. A primeira é um backdoor passivo, desenvolvido em C++, conhecido como Rungan. A segunda é um módulo malicioso para o IIS (Serviços de Informações da Internet), chamado Gamshen. Essas ferramentas trabalham juntas para explorar vulnerabilidades e manter o acesso aos sistemas invadidos.

Como o Rungan e o Gamshen Operam

O Rungan funciona como um backdoor, permitindo acesso não autorizado a sistemas, aplicativos e redes. Sua criação em C++ é um detalhe importante, pois essa linguagem de programação oferece um controle remoto direto e profundo sobre o hardware do computador. Isso significa que os invasores podem manipular as máquinas com grande eficácia.

CONTINUA DEPOIS DA PUBLICIDADE

Já o Gamshen age como um módulo malicioso especificamente para o IIS, um servidor web da Microsoft que gerencia o tráfego de internet. A função principal do Gamshen é identificar o Googlebot, o robô do Google responsável por rastrear a web. Com essa detecção, o módulo consegue agir de forma estratégica.

Ele manipula o tráfego e comete fraudes de SEO (Otimização para Mecanismos de Busca). Na prática, isso permite que sites fraudulentos apareçam nas primeiras posições dos resultados de busca do Google, sem que os usuários comuns percebam a fraude. Essa técnica é conhecida como cloaking e engana tanto os robôs quanto as pessoas. Um golpe recente que usa IA para esconder sites fraudulentos demonstra a sofisticação dessas táticas.

Para dificultar a detecção e evitar a remoção por sistemas de segurança, os atacantes também utilizam técnicas conhecidas como EfsPotato e BadPotato. Estes são exploits públicos, ou seja, códigos que exploram vulnerabilidades de segurança já conhecidas e documentadas. Eles oferecem uma porta de entrada para ações mais severas.

Esses exploits permitem que os criminosos criem contas de administrador nos servidores. Isso garante que eles mantenham o acesso, mesmo após varreduras de antivírus ou outras medidas de segurança. Além disso, os exploits podem ser usados para baixar e executar outros programas maliciosos com privilégios elevados, solidificando a invasão.

A Complexidade da Identificação do GhostRedirector

A investigação da ESET apontou que não existe um alvo específico para as ações do GhostRedirector. Os cibercriminosos já atacaram servidores de diversos setores, como educação, saúde, seguros, transporte, tecnologia e varejo. É provável que os principais alvos sejam, na verdade, apenas sistemas que apresentem vulnerabilidades.

Como uma camada adicional de proteção para a invasão, eles instalam o GoToHTTP. Essa ferramenta cria uma “porta de serviço” paralela, que parece legítima para o sistema operacional. Isso permite que os cibercriminosos retornem ao servidor a qualquer momento, mesmo se outros malwares forem removidos, garantindo a continuidade do esquema de fraude de SEO.

CONTINUA DEPOIS DA PUBLICIDADE

A ESET informou que não foi possível determinar com certeza quem está por trás desses ataques. No entanto, algumas evidências sugerem a participação de hackers chineses. Os pesquisadores encontraram trechos de código em chinês, certificados digitais emitidos para empresas na China e senhas que incluíam palavras em mandarim. A empresa de segurança ressalta que estes são apenas indícios, e não provas concretas. Ameaças de hackers são um problema constante no ambiente digital.

O GhostRedirector não é o primeiro caso de um grupo ligado à China que se envolve em fraudes de SEO usando módulos IIS maliciosos. No ano anterior, a Cisco Talos identificou um grupo chamado DragonRank, que também realizava fraudes de SEO com um perfil de vítimas semelhante.

O DragonRank foi detectado na Tailândia e Índia – países que também foram alvos do GhostRedirector – além da Holanda. Assim como o grupo atual, o DragonRank não mirava em setores específicos, atacando instituições de saúde, transporte e TI. Apesar dessas semelhanças, a ESET afirma que não há motivos para acreditar que os dois grupos estejam conectados.

Proteja-se de Ameaças como o GhostRedirector

Diante da falta de um alvo específico e da ampla gama de setores atingidos, é fundamental adotar medidas de segurança robustas para evitar incidentes. A ESET destaca que todos os passos utilizados pelos atacantes, desde a instalação do Rungan e Gamshen até o uso de EfsPotato, BadPotato e GoToHTTP, sublinham a importância de manter os sistemas atualizados.

É crucial aplicar patches de segurança rapidamente, monitorar módulos desconhecidos e bloquear acessos não autorizados. Adotar essas precauções pode fortalecer os sistemas e diminuir a chance de vulnerabilidades serem exploradas. Para quem busca aprimoramento, um curso avançado em cibersegurança pode ser útil (promoção pode não ser válida no Brasil).

Aqui estão algumas ações recomendadas para proteger seus sistemas:

  • Atualize Windows e IIS: Instale as atualizações e patches de segurança o mais rápido possível para corrigir falhas.
  • Restrinja exposição do IIS: Limite o acesso do IIS à internet apenas ao que é estritamente necessário para sua operação.
  • Monitore módulos e contas: Verifique regularmente a presença de DLLs estranhas no IIS e fique atento à criação de novas contas de administrador.
  • Audite logs de acesso: Revise os logs para identificar respostas diferentes quando o Googlebot navega em seu site, o que pode indicar cloaking.
  • Use EDR/antivírus no servidor: Implemente soluções de detecção e resposta de endpoints (EDR) e antivírus para identificar backdoors e comportamentos suspeitos.
  • Bloqueie softwares de acesso remoto: Desautorize e bloqueie a execução de programas de acesso remoto não autorizados, como o GoToHTTP. Uma ferramenta de atualização do Windows 11 pode ajudar a gerenciar recursos.
  • Tenha um plano de resposta a incidentes: Mantenha backups dos dados e uma equipe preparada para agir rapidamente em caso de uma invasão.

A vigilância constante e a adoção de boas práticas de segurança são essenciais para proteger ambientes digitais contra ameaças sofisticadas como o GhostRedirector e garantir a integridade das informações.

Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.

André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.