O Netskope Threat Labs identificou que, ao longo de 2022, os hackers aumentaram a sofisticação em técnicas de SEO para impulsionar o alcance de sites maliciosos em mecanismos de busca. Eles chegaram até a hospedar páginas falsas no Google Sites e Azure Web App. O objetivo da ação é ganhar a confiança das vítimas e ampliar as chances de sucesso no roubo de credenciais de acesso em sites de transações de criptomoedas.
LEIA MAIS: Com SEO, CI&T consegue aumentar em 198% os acessos de seus sites
Nesta campanha, os alvos foram Coinbase, Kraken, Gemini e Metamask – listadas no topo do ranking da Forbes entre melhores corretoras de criptomoedas do mundo. A técnica consiste em criar páginas cuidadosamente elaboradas, incluindo até mesmo seções de FAQ, e investir em perfis falsos para interagir em comentários em sites e blogs com os links maliciosos.
Dessa forma, impulsionam o alcance desses sites de phishing, fazendo com que apareçam como primeira opção em mecanismos de buscas quando a vítima tentar localizar a página verdadeira. Como forma de atrair os usuários, eles utilizam até SEO, ou seja, com as palavras chaves mais buscadas para aquelas páginas.
Como funciona o golpe
No primeiro passo dessa campanha, a vítima é direcionada para sites que exigem diferentes opções para prosseguir com a ação, como o clássico login e senha. No caso da Gemini, ao tentar o login a vítima é direcionada a uma página de autenticação de múltiplos fatores (MFA) e depois a um chat com um usuário que solicita confirmação de informações.
Já nos registros com a Metamask, foi identificada também a opção de importar uma carteira de criptomoeda, que exigirá a recuperação da “palavra secreta” de segurança. Em todos os casos, as opções direcionam para páginas maliciosas que concluirão o roubo com sucesso.
A recomendação para não se tornar mais uma vítima deste cibercrime crescente é, em primeiro lugar, digitar diretamente no navegador a URL do site que será acessado e nunca inserir as credenciais após clicar em um link. Para as empresas, os especialistas recomendam o uso de secure web gateway (SWG), capaz de detectar e bloquear phishing em tempo real.
Cibercriminosos já usavam SEO
Outra pesquisa da Netskope deste ano aponta que os hackers já estão utilizando técnicas de otimização de mecanismos de busca (SEO) para melhorar a classificação de arquivos PDF maliciosos em sites de pesquisa, incluindo Google e Bing.
As principais categorias de referência na web que os cibercriminosos estão se aproveitando são algumas tradicionalmente associadas a malware – principalmente shareware (software gratuito por período e recursos limitados até a aquisição de uma licença) e freeware (software gratuito que não pode ser modificado).
O aumento do uso de mecanismos de busca para a entrega de malware nos últimos 12 meses reflete quão adeptos os hackers estão às técnicas de SEO. Os downloads foram registrados predominantemente em arquivos PDF, incluindo muitos CAPTCHAs maliciosos que redirecionavam os usuários para sites de phishing, spam, scam e malware.
O relatório também mostra que a maioria dos malwares neste período foi baixada na mesma região da vítima, uma tendência crescente que aponta maior grau de sofisticação dos hackers, que mais cada vez mais posicionam ameaças para evitar filtros de proteção entre países e outras medidas tradicionais de prevenção.
As descobertas revelam que, na maioria dos casos os atacantes, tendem a buscar vítimas em uma localidade específica com malware hospedado dentro da mesma região. Isto vale principalmente para a América do Norte, onde 84% de todos os downloads maliciosos foram baixados de sites hospedados no continente.
Outros dados da pesquisa
Com base em um subconjunto de dados anonimizados coletados pela plataforma Netskope Security Cloud, as principais conclusões do relatório incluem:
- Os cavalos de Tróia são responsáveis por 77% de todos os downloads de malware na nuvem e na web, já que os atacantes usam técnicas de engenharia social para ganhar uma base inicial e entregar uma variedade de cargas maliciosas, incluindo backdoors, infostealers e ransomware.
- 47% dos downloads de malware têm origem em aplicações em nuvem em comparação com 53% em sites tradicionais, já que os atacantes continuam a usar uma combinação de nuvem e web para atingir suas vítimas.
- As aplicações populares de armazenamento em nuvem permanecem a fonte da maioria dos downloads de malware em nuvem. Outras aplicações incluíram colaboração e webmail, nas quais os atacantes podem enviar mensagens diretamente para suas vítimas.
- Os arquivos EXE e DLL são responsáveis por quase metade de todos os downloads de malware, uma vez que os atacantes continuam a mirar o Microsoft Windows, enquanto os arquivos maliciosos do Microsoft Office estão em declínio.
