O envenenamento de SEO voltou a ser uma das armas preferidas dos cibercriminosos para distribuir malware. Em vez de explorar falhas diretamente nos computadores das vítimas, os atacantes manipulam os resultados de pesquisa do Google para posicionar sites falsificados entre os primeiros resultados, atraindo usuários que procuram programas populares para download.
Uma nova investigação da Kaspersky revelou uma campanha de larga escala que utiliza essa estratégia para distribuir o AsyncRAT, um conhecido trojan de acesso remoto. O ataque combina páginas falsas, ferramentas legítimas como o ScreenConnect e diversas técnicas avançadas de evasão para comprometer computadores Windows sem levantar suspeitas.
O caso chama a atenção porque demonstra como softwares confiáveis podem ser utilizados como parte da cadeia de infecção. Para usuários comuns, gamers, criadores de conteúdo e profissionais de TI, o alerta é claro: baixar aplicativos diretamente dos mecanismos de busca, sem verificar cuidadosamente a URL do site, pode resultar na instalação silenciosa de um malware altamente perigoso.
O que é o envenenamento de SEO e como a campanha funciona
O envenenamento de SEO é uma técnica utilizada para manipular mecanismos de busca e posicionar páginas maliciosas entre os primeiros resultados. Em vez de depender de e-mails de phishing ou anúncios fraudulentos, os criminosos exploram a confiança que muitos usuários depositam nos resultados orgânicos das pesquisas.
Segundo a Kaspersky, a campanha identificada envolve mais de 90 domínios maliciosos, distribuídos em cerca de 10 idiomas, incluindo o português. Os sites são cuidadosamente desenvolvidos para reproduzir a aparência das páginas oficiais de softwares conhecidos, aumentando significativamente a chance de enganar as vítimas.
Entre os programas utilizados como isca estão o OBS Studio, bastante popular entre streamers e criadores de conteúdo, além de ferramentas como DNS Jumper, DS4Windows e Bandicam. Em todos os casos, o visitante acredita estar acessando o site legítimo para baixar o software desejado.
A fraude é convincente porque copia logotipos, layouts, descrições e até mesmo elementos visuais das páginas oficiais. Em muitos casos, apenas pequenos detalhes na URL denunciam que o domínio é falso, algo que passa despercebido para usuários menos experientes.
Essa combinação entre técnicas de SEO, engenharia social e páginas praticamente idênticas às originais torna a campanha extremamente eficiente, especialmente para quem costuma pesquisar o nome de um programa seguido da palavra “download” nos mecanismos de busca.

O envenenamento de SEO na anatomia do ataque: do ScreenConnect ao AsyncRAT
Depois que a vítima realiza o download do instalador falso, a infecção começa de maneira discreta. Em vez de executar imediatamente um malware conhecido, os criminosos utilizam componentes legítimos para reduzir a chance de detecção.
Um dos principais elementos utilizados é o ScreenConnect, ferramenta amplamente empregada por empresas para suporte remoto. Por ser um software legítimo e amplamente conhecido, sua presença inicial ajuda a mascarar o comportamento malicioso durante as primeiras etapas da infecção.
Enquanto o usuário acredita estar instalando o programa desejado, diversos componentes adicionais são copiados para o sistema, preparando o ambiente para a execução do AsyncRAT.
O uso de DLL sideloading e a evasão do Windows Defender
Uma das técnicas utilizadas pelos invasores é o DLL sideloading, método que explora o carregamento de bibliotecas dinâmicas pelo Windows.
Na campanha analisada, um executável legítimo chamado install.exe é utilizado juntamente com uma DLL maliciosa. Como o executável possui aparência legítima, ele acaba carregando a biblioteca falsa sem despertar suspeitas.
Na sequência, scripts em PowerShell entram em ação para modificar configurações de segurança do sistema. Entre os objetivos estão reduzir a proteção oferecida pelo Microsoft Defender, contornar mecanismos de segurança e diminuir a quantidade de alertas exibidos ao usuário, incluindo alterações relacionadas ao UAC (User Account Control).
Esse conjunto de técnicas dificulta a identificação da ameaça tanto pelos usuários quanto por algumas soluções de segurança menos robustas.
O envenenamento de SEO e a execução oculta do AsyncRAT
Após preparar o ambiente, o malware passa para uma etapa ainda mais sofisticada.
Arquivos auxiliares são criados no diretório C:\Users\Public, local frequentemente utilizado por atacantes por possuir permissões amplas e despertar pouca atenção dos usuários. Scripts adicionais são executados de forma oculta para continuar a cadeia de infecção.
Em seguida, entra em cena uma técnica conhecida como process hollowing. Nessa abordagem, um processo legítimo do Windows é iniciado normalmente, mas seu conteúdo é substituído pelo código do AsyncRAT, permitindo que o malware seja executado sob a aparência de um processo confiável.
Essa técnica dificulta significativamente a detecção por ferramentas tradicionais de segurança, já que o processo aparentemente pertence ao próprio sistema operacional.
Ao final da sequência, o trojan estabelece comunicação com a infraestrutura controlada pelos criminosos, permitindo que o computador comprometido seja controlado remotamente.
Os riscos do AsyncRAT e como se proteger
O AsyncRAT é um dos trojans de acesso remoto mais conhecidos atualmente. Depois de instalado, ele oferece aos criminosos amplo controle sobre o computador da vítima.
Entre suas capacidades estão o roubo de credenciais, captura de arquivos, monitoramento das atividades do usuário, gravação da tela, execução remota de comandos e instalação de componentes adicionais. Dependendo da configuração utilizada pelos atacantes, o malware também pode coletar informações do navegador, dados armazenados no sistema e permitir novas infecções.
Outro aspecto preocupante é a persistência. A campanha analisada utiliza mecanismos como o MasterPackager.Updater para manter o malware ativo mesmo após reinicializações do sistema, aumentando o tempo de permanência dos invasores no equipamento comprometido.
Embora o ataque utilize técnicas sofisticadas, algumas medidas simples reduzem bastante o risco de infecção.
Sempre verifique cuidadosamente a URL antes de baixar qualquer programa, principalmente quando ele foi encontrado por meio de uma pesquisa na internet. Prefira acessar diretamente o site oficial do desenvolvedor em vez de clicar automaticamente no primeiro resultado apresentado.
Também é importante conferir a assinatura digital dos arquivos executáveis, manter o Windows totalmente atualizado e garantir que o Microsoft Defender ou outra solução de segurança esteja ativo e recebendo atualizações regularmente.
Outra boa prática consiste em desconfiar de instaladores que solicitam permissões incomuns, executam diversos componentes inesperados ou apresentam comportamento diferente do esperado durante a instalação.
A campanha descoberta pela Kaspersky mostra que os criminosos estão investindo cada vez mais em técnicas que exploram a confiança dos usuários, e não apenas vulnerabilidades técnicas. O cuidado durante o download continua sendo uma das formas mais eficazes de evitar infecções por malware.
