Hackers – Pesquisadores de cibersegurança identificaram um novo malware, batizado de GhostRedirector, que vem comprometendo servidores Windows ao redor do mundo. O grupo por trás da ameaça já atua em pelo menos 65 máquinas, com maior concentração de ataques no Brasil, Vietnã e Tailândia. Países como Estados Unidos, Canadá, Finlândia e Índia também foram afetados.
O esquema chama atenção por utilizar duas ferramentas pouco comuns: o Rungan, um backdoor desenvolvido em C++ que permite controle direto sobre o hardware do computador, e o Gamshen, módulo malicioso para o servidor web IIS da Microsoft. Esse último tem a função de identificar o tráfego do Googlebot – robô do Google responsável por rastrear a internet – e, assim, manipular resultados de busca.
LEIA: Mulher perde R$ 36 mil com golpista que dizia ser astronauta sem oxigênio
Na prática, a fraude beneficia sites controlados pelos criminosos, que aparecem artificialmente entre os primeiros resultados do Google, sem levantar suspeitas dos usuários.
Técnicas de persistência
Para dificultar a detecção, o grupo recorre a exploits conhecidos como EfsPotato e BadPotato, que exploram falhas de segurança para criar contas de administrador e manter o acesso mesmo após verificações de antivírus. Além disso, os atacantes instalam o GoToHTTP, um software de acesso remoto legítimo, mas utilizado como uma “porta de serviço” que garante o retorno ao servidor mesmo se outros malwares forem removidos.
Segundo a investigação, os alvos variam: há registros de ataques contra setores de saúde, educação, seguros, transporte, tecnologia e varejo. Especialistas avaliam que o critério principal é a vulnerabilidade dos sistemas, e não um segmento específico.
Possível origem
Embora não haja confirmação, evidências como trechos de código em chinês, certificados digitais emitidos para empresas da China e senhas em mandarim levantam a hipótese de que os responsáveis sejam hackers chineses. Ainda assim, a empresa de segurança ESET alerta que essas pistas não representam provas definitivas.
Casos anteriores reforçam a atenção: em 2024, o DragonRank, outro agente de ameaça alinhado à China, também utilizou módulos IIS para manipular resultados de busca, com alvos semelhantes em países como Índia, Tailândia e Holanda. Apesar das coincidências, não há indícios de ligação direta entre os dois grupos.
Como se proteger
A recomendação dos especialistas é reforçar as defesas contra vulnerabilidades conhecidas. Algumas medidas práticas incluem:
• Manter o Windows e o IIS atualizados com patches de segurança;
• Limitar a exposição do IIS apenas ao necessário;
• Monitorar módulos e contas suspeitas, como DLLs estranhas ou novos administradores;
• Auditar logs de acesso, especialmente respostas diferentes ao Googlebot;
• Utilizar soluções de EDR/antivírus nos servidores;
• Bloquear softwares de acesso remoto não autorizados, como o GoToHTTP;
• Ter um plano de resposta a incidentes, com backups e equipe preparada.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/DC Studio)
