{"id":11513,"date":"2025-09-05T16:51:05","date_gmt":"2025-09-05T19:51:05","guid":{"rendered":"https:\/\/fenati.org.br\/?p=11513"},"modified":"2025-09-08T10:45:59","modified_gmt":"2025-09-08T13:45:59","slug":"hackers-exploram-servidores-windows-manipular-buscas-google","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/hackers-exploram-servidores-windows-manipular-buscas-google\/","title":{"rendered":"Hackers exploram servidores Windows para manipular buscas no Google"},"content":{"rendered":"<p><strong>Hackers &#8211;<\/strong> Pesquisadores de ciberseguran\u00e7a identificaram um novo malware, batizado de GhostRedirector, que vem comprometendo servidores Windows ao redor do mundo. O grupo por tr\u00e1s da amea\u00e7a j\u00e1 atua em pelo menos 65 m\u00e1quinas, com maior concentra\u00e7\u00e3o de ataques no Brasil, Vietn\u00e3 e <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Tail%C3%A2ndia\" target=\"_blank\" rel=\"noopener nofollow\">Tail\u00e2ndia<\/a>. Pa\u00edses como Estados Unidos, Canad\u00e1, Finl\u00e2ndia e \u00cdndia tamb\u00e9m foram afetados.<\/p>\n<p>O esquema chama aten\u00e7\u00e3o por utilizar duas ferramentas pouco comuns: o Rungan, um backdoor desenvolvido em C++ que permite controle direto sobre o hardware do computador, e o Gamshen, m\u00f3dulo malicioso para o servidor web IIS da Microsoft. Esse \u00faltimo tem a fun\u00e7\u00e3o de identificar o tr\u00e1fego do Googlebot \u2013 rob\u00f4 do Google respons\u00e1vel por rastrear a internet \u2013 e, assim, manipular resultados de busca.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/mulher-r-36-mil-golpista-astronauta-sem-oxigenio\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Mulher perde R$ 36 mil com golpista que dizia ser astronauta sem oxig\u00eanio<\/strong><\/a><\/p>\n<p>Na pr\u00e1tica, a fraude beneficia sites controlados pelos criminosos, que aparecem artificialmente entre os primeiros resultados do Google, sem levantar suspeitas dos usu\u00e1rios.<\/p>\n<p><strong>T\u00e9cnicas de persist\u00eancia<\/strong><\/p>\n<p>Para dificultar a detec\u00e7\u00e3o, o grupo recorre a exploits conhecidos como EfsPotato e BadPotato, que exploram falhas de seguran\u00e7a para criar contas de administrador e manter o acesso mesmo ap\u00f3s verifica\u00e7\u00f5es de antiv\u00edrus. Al\u00e9m disso, os atacantes instalam o GoToHTTP, um software de acesso remoto leg\u00edtimo, mas utilizado como uma \u201cporta de servi\u00e7o\u201d que garante o retorno ao servidor mesmo se outros malwares forem removidos.<\/p>\n<p>Segundo a investiga\u00e7\u00e3o, os alvos variam: h\u00e1 registros de ataques contra setores de sa\u00fade, educa\u00e7\u00e3o, seguros, transporte, tecnologia e varejo. Especialistas avaliam que o crit\u00e9rio principal \u00e9 a vulnerabilidade dos sistemas, e n\u00e3o um segmento espec\u00edfico.<\/p>\n<p><strong>Poss\u00edvel origem<\/strong><\/p>\n<p>Embora n\u00e3o haja confirma\u00e7\u00e3o, evid\u00eancias como trechos de c\u00f3digo em chin\u00eas, certificados digitais emitidos para empresas da China e senhas em mandarim levantam a hip\u00f3tese de que os respons\u00e1veis sejam hackers chineses. Ainda assim, a empresa de seguran\u00e7a ESET alerta que essas pistas n\u00e3o representam provas definitivas.<\/p>\n<p>Casos anteriores refor\u00e7am a aten\u00e7\u00e3o: em 2024, o DragonRank, outro agente de amea\u00e7a alinhado \u00e0 China, tamb\u00e9m utilizou m\u00f3dulos IIS para manipular resultados de busca, com alvos semelhantes em pa\u00edses como \u00cdndia, Tail\u00e2ndia e Holanda. Apesar das coincid\u00eancias, n\u00e3o h\u00e1 ind\u00edcios de liga\u00e7\u00e3o direta entre os dois grupos.<\/p>\n<p><strong>Como se proteger<\/strong><\/p>\n<p>A recomenda\u00e7\u00e3o dos especialistas \u00e9 refor\u00e7ar as defesas contra vulnerabilidades conhecidas. Algumas medidas pr\u00e1ticas incluem:<\/p>\n<p>\u2022 Manter o Windows e o IIS atualizados com patches de seguran\u00e7a;<br \/>\n\u2022 Limitar a exposi\u00e7\u00e3o do IIS apenas ao necess\u00e1rio;<br \/>\n\u2022 Monitorar m\u00f3dulos e contas suspeitas, como DLLs estranhas ou novos administradores;<br \/>\n\u2022 Auditar logs de acesso, especialmente respostas diferentes ao Googlebot;<br \/>\n\u2022 Utilizar solu\u00e7\u00f5es de EDR\/antiv\u00edrus nos servidores;<br \/>\n\u2022 Bloquear softwares de acesso remoto n\u00e3o autorizados, como o GoToHTTP;<br \/>\n\u2022 Ter um plano de resposta a incidentes, com backups e equipe preparada.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/DC Studio)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>GhostRedirector manipula resultados de pesquisa e mant\u00e9m acesso mesmo ap\u00f3s ser removido por antiv\u00edrus<\/p>","protected":false},"author":6,"featured_media":11514,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-11513","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11513","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=11513"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11513\/revisions"}],"predecessor-version":[{"id":11515,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11513\/revisions\/11515"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/11514"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=11513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=11513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=11513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}