Pesquisadores da ESET identificaram um novo agente de ameaças chamado GhostRedirector, que já está ativo em mais de 65 servidores Windows pelo mundo. O Brasil aparece entre os principais alvos, junto com Tailândia e Vietnã, mas casos também foram registrados nos EUA, Canadá, Finlândia e Índia.
Como funciona o ataque
O GhostRedirector utiliza duas ferramentas principais:
- Rungan: um backdoor em C++ que dá aos invasores acesso remoto ao computador de forma não autorizada. Por ser escrito nessa linguagem, o risco aumenta, já que o controle pode chegar até o hardware da máquina.
- Gamshen: um módulo malicioso que se instala em servidores IIS (plataforma web da Microsoft). Ele é capaz de identificar quando o tráfego vem do Googlebot — o robô que rastreia sites para o buscador — e, assim, manipular resultados de pesquisa. Na prática, os hackers conseguem fazer sites fraudulentos aparecerem entre os primeiros no Google, enganando usuários.
Para manter o acesso, os criminosos exploram falhas conhecidas (como EfsPotato e BadPotato) que permitem criar contas de administrador e instalar novos malwares. Eles ainda utilizam o GoToHTTP, um software de acesso remoto legítimo, mas usado aqui como uma “porta de serviço” discreta, garantindo que possam voltar mesmo depois de limpezas de antivírus.
Quem são os alvos?
Não há um setor específico em foco. Os ataques já atingiram servidores de áreas como educação, saúde, seguros, transporte, tecnologia e varejo. Segundo a ESET, o padrão é explorar sistemas vulneráveis, sem uma escolha clara de indústria.
Hackers chineses estariam por trás
Ainda não há confirmação oficial sobre a origem do GhostRedirector, mas os pesquisadores encontraram pistas que apontam para hackers chineses — como trechos de código em mandarim, certificados digitais emitidos para empresas da China e até senhas com palavras nesse idioma.
Esse tipo de ataque lembra outro caso parecido: em 2023, a Cisco Talos identificou o grupo DragonRank, também associado à China, que usava módulos IIS para fraudes de SEO.
Como se proteger
Mesmo sem saber quem será o próximo alvo, algumas medidas ajudam a reduzir os riscos:
- Aplicar patches de segurança no Windows e IIS o mais rápido possível.
- Restringir a exposição do IIS, deixando acessível apenas o essencial.
- Monitorar módulos e contas do sistema, observando DLLs suspeitas e criação de novos administradores.
- Auditar logs de acesso, especialmente respostas diferentes para o Googlebot.
- Usar EDR ou antivírus no servidor para detectar backdoors.
- Bloquear softwares de acesso remoto não autorizados como o GoToHTTP.
- Ter um plano de resposta a incidentes, com backups e equipe preparada.
O GhostRedirector mostra como os criminosos digitais estão diversificando técnicas para ganhar dinheiro com golpes sofisticados, como manipulação de buscas no Google. Manter sistemas atualizados e monitorados nunca foi tão essencial.
