A Sucuri, uma das empresas mais respeitadas no mundo todo quando o assunto é identificar malwares e manter a segurança de sites, revelou em seu relatório trimestral que campanhas SPAM de SEO representaram um grande volume em seus checagens de malwares para sites. A base de dados foi formada pela ferramenta gratuita de checagens de sites remotamente, a SiteCheck e também a base de clientes da empresa.
Scanner gratuito para verificar se o site foi comprometido por malwares
A Sucuri oferece um scanner gratuito e público para verificar se qualquer site foi comprometido. O SiteCheck da Sucuri consegue fazer uma verificação no site informado e também exibe resultados precisos. Dentre os resultados do SiteCheck é possível saber se o site foi comprometido ou não e em tempo real.
Recursos do SiteCheck da Sucuri
Com o SiteCheck é possível identificar:
- Problemas de segurança em site
- Se há código malicioso implementado no site
- Se o site está bloqueado em alguma lista
A verificação é gratuita e já oferece um bom sinal sobre o que pode estar acontecendo com qualquer site. Além disso, a empresa fornece um serviço pago, e com preço justo, que consegue fazer um escaneamento no servidor em busca de qualquer falha de segurança, malware ou ainda possível infecção por malware. Mas, ao identificar os problemas de segurança ou malware, o usuário do plano pago pode pedir para a Sucuri fazer remoção.
Infecções de malware em sites no terceiro trimestre de 2022
Segundo informações confirmadas pela Sucuri, o SiteCheck realizou quase 23.500 varreduras em sites ao redor do mundo. Mas em meio a todas essas checagens cerca de 260.000 infecções foram encontradas. A empresa comentou que as infecções ocorrem por vários motivos. Assim, mesclando as informações, o sequestro de tráfego para redirecionar para sites malicioso, injeção de palavras-chave e links spam estão em alta em meio ao número reportado.
Sobre o SPAM de SEO, é uma prática de verifica formulários de sites sejam estes de comentários ou contato e fazem envio de palavras-chave e links automaticamente. O SPAM de SEO é uma prática ilegal que tem por objetivo pegar carona na boa classificação de sites, fazendo com que o site ilegalmente enviado ganhe pontos junto a grandes buscadores de maneira artificial.
Além do SPAM de SEO, o SiteCheck também identificou downloads drive-by, coleta de dados e outras informações pessoais. Como dito, são várias as possibilidades. Assim, ao menor sinal que o seu site não esteja normal e se você não fez nenhuma alteração posterior, faça um scan e verifique se há algo que você não esteja vendo naquele momento.
Spam de SEO em 2022
O SiteCheck identificou um total de 119.865 detecções de spam de SEO no último trimestre, representando 46,08% de todas as infecções. Como visto em relatórios anteriores, o spam de SEO foi a infecção mais comum observada nos dados de varredura remota, seguida por diversos malwares. As infecções por spam de SEO também são um dos tipos mais comuns de malware encontrados entre os novos clientes da Sucuri. Como essas infecções basicamente permitem que um invasor pegue carona nas classificações de pesquisa de um site, elas podem ser extremamente valiosas para hackers que desejam promover suas próprias páginas e palavras-chave de spam.
Muitos tipos de spam destinam-se a ser visíveis apenas para o Google e seu rastreador, um scanner externo imita o comportamento do Google para também descobrir spam que é visível apenas para rastreadores.
Quando o Google e outras autoridades de pesquisa detectam uma infecção por spam ou outro código prejudicial em um site, geralmente rebaixam suas classificações e reduzem o tráfego orgânico para esse site até que o problema seja resolvido. Isso pode levar a avisos de listas de bloqueio e software malicioso do Google – então você definitivamente vai querer tomar medidas para proteger seu site contra infecções de spam de SEO.
Vamos examinar algumas das subcategorias mais comuns de spam de SEO vistas durante uma verificação do SiteCheck no último trimestre.
Spam de palavras-chave
O spam de palavras-chave foi o principal infrator no último trimestre de 2022. E quando estamos falando de spam de palavras-chave, estamos nos referindo a coisas como sites de namoro ou adultos, medicamentos, serviços de redação e réplicas de produtos falsificados.
Os invasores usam técnicas de camuflagem para manipular classificações de pesquisa e exibir palavras-chave ou conteúdo para mecanismos de pesquisa que podem não estar completamente relacionados ao site original. A camuflagem pode mostrar links de spam para o Google enquanto veicula o conteúdo original do site aos visitantes do site. Ou os scripts do invasor podem apenas inserir palavras-chave ou conteúdo de spam que é exibido apenas para agentes de usuários de mecanismos de pesquisa.
Como exemplo, aqui está um pequeno trecho de pharma-spam camuflado.
As próprias páginas do site não conterão esse snippet – e os visitantes também não o verão. Mas quando um mecanismo de pesquisa rastreia a página, ele encontra esse spam farmacêutico camuflado e polui os resultados da pesquisa que acabam parecendo algo assim:
E embora o Google ainda tenha links para páginas de sites legítimos, quando as pessoas clicarem nelas, elas simplesmente serão redirecionadas para o site da drogaria falsificada. O site comprometido original não receberá nenhum tráfego de pesquisa como resultado.
Conteúdo oculto
O conteúdo oculto foi o segundo colocado em termos de tipo mais comum de spam de SEO. Isso difere do spam de palavras-chave no sentido de que, quando o SiteCheck detecta conteúdo oculto, ele identifica algumas técnicas de SEO black hat que estão ocultando spam em uma página da Web legítima – em vez do spam em si.
Uma das técnicas mais comuns usadas no último trimestre foi associada à ocultação de links de spam em uma tag <div>. Basicamente, um invasor cria um <div> com um pixel de altura e então injeta um monte de links de spam nessa pequena tag. Você pode encontrá-lo em um site comprometido como <div style”overflow:hidden;height:1px;”>.
Aqui está um exemplo:
Esse div super pequeno faz com que os links de spam dos invasores não sejam visíveis para os visitantes do site, a menos que eles inspecionem o código – mas os mecanismos de pesquisa os verão.
No entanto, não tenha ideias inteligentes sobre como implementar essas técnicas em seu site. Se o Google detectar links ou textos ocultos em seu conteúdo projetados para manipular classificações de pesquisa, isso pode ser visto como uma prática enganosa e uma violação de suas diretrizes para webmasters. As classificações podem ser afetadas negativamente.
Malware em sites
O próximo da lista foi o malware. 27,34% das infecções de sites foram detectadas como uma injeção de malware no último trimestre pelo SiteCheck.
As injeções de malware são definidas como injeções de scripts externos maliciosos, iframes, scripts embutidos – e excluem qualquer coisa que tenha sido sinalizada como spam de SEO.
Malware SocGholish e NDSW
Uma injeção de malware digna de nota foi a campanha de malware SocGholish em andamento relatada por Denis Sinegubko no início deste ano. Esse malware foi responsável por mais de 30% das injeções no último trimestre – e estava entre as principais infecções que a equipe de remediação da Sucuri limpou no terceiro trimestre.
A campanha de malware SocGholish usa JavaScript para exibir avisos falsos para as pessoas atualizarem seu navegador, mas, na realidade, elas são enganadas para baixar um trojan de acesso remoto que pode permitir que um invasor obtenha acesso total e controle remotamente um computador infectado. Isso inclui controle de mouse e teclado, acesso a arquivos, acesso a recursos de rede – tornando muito mais fácil para o hacker ignorar os controles de segurança e autenticação. Esse malware também foi usado como parte do primeiro estágio em ataques de ransomware contra grandes corporações.
O NDSW, que Denis também relatou no início deste ano, é uma variante do malware SocGholish que o SiteCheck detectou 20.978 vezes em sites infectados apenas no terceiro trimestre.
O que diferencia o NDSW do chamado código SocGholish vanilla é que o malware faz referência a uma variável NDSW e contém um wrapper personalizado usado para servir dinamicamente a injeção maliciosa por meio de um proxy PHP.
Esse malware foi projetado para sequestrar os visitantes do seu site e redirecioná-los para o site dos invasores, onde eles são solicitados a baixar uma atualização maliciosa do navegador. Normalmente atua em duas etapas. Primeiro, JS malicioso é injetado em HTML ou anexado ao final de cada arquivo JS. A segunda camada é encontrada na carga útil do NDSX, que é buscada por um script PHP malicioso, geralmente encontrado em algum diretório aleatório em algum lugar do site invadido.
Notificações DDoS falsas do CloudFlare
Outra campanha notável de injeção de malware relatada por Ben Martin foi encontrada visando sites WordPress para servir notificações DDoS falsas como esta.
As vítimas veem uma caixa de diálogo aparecer na tela, solicitando que cliquem para proteção contra DDoS. E como esses tipos de verificações do navegador são tão comuns, muitos usuários podem não pensar duas vezes antes de clicar no prompt para acessar o site.
Mas a realidade é que clicar na notificação maliciosa inicia o download de um arquivo malicioso diretamente no computador da vítima. Que é seguido por um prompt para abrir o arquivo e inserir uma verificação para acessar o site.
Infelizmente, conforme verificado por Jerome Segura no MalwareBytes, esse arquivo é na verdade um trojan de acesso remoto conhecido como NETSupport RAT. O que também acontece para instalar um malware conhecido como Raccoon stealer – uma ferramenta de “malware como serviço” usada para roubar carteiras de criptomoedas, cookies de navegador e dados de preenchimento automático, senhas e detalhes de cartão de crédito. Essas infecções de endpoint também podem ser a primeira fase de um ataque de ransomware ou conta bancária – e realmente destacam a importância de proteger seu site contra infecções.
Desfiguração ou roubo de servidores
Após injeções de malware, temos desfigurações que representaram 1,23 % das infecções detectadas no último trimestre.
As desfigurações são definidas como ataques que levam a alterações visuais da página de um site — semelhantes a pichações ou vandalismo. Como a imagem mostrada abaixo, você pode navegar para seu site um dia apenas para descobrir que sua página inicial se parece um pouco com isto:
Os invasores podem ser motivados a desfigurar um site para fazer uma declaração política ou religiosa – ou simplesmente para se divertir e causar estragos em um ambiente por diversão.
Anúncios indesejados
Em quarto lugar na lista estavam os anúncios indesejados, totalizando 0,98% das infecções detectadas no último trimestre. Esta categoria engloba basicamente qualquer anúncio, rastreador ou pop-up de site exibido sem o consentimento total do webmaster.
Um exemplo comum de anúncios indesejados – com 1.036 detecções vistas no último trimestre – foram essas injeções de LNKR.
Esses scripts são injetados em um site por meio de extensões de navegador maliciosas – que podem até desempenhar algumas funções úteis, mas na realidade estão servindo malware. A injeção geralmente ocorre quando o proprietário de um site edita uma postagem ou página usando o editor WYSIWIG e tem a extensão maliciosa instalada em seu navegador. Scripts maliciosos são adicionados secretamente ao final das postagens, sobrepondo rastreadores e anúncios indesejados no site no processo.
Skimmers de cartão de crédito
Também conhecido como MageCart, o malware skimmer foi detectado em 1.902 sites no último trimestre. Essas detecções foram espalhadas por 59 variantes diferentes e impactaram os ultra populares WordPress, Magento e OpenCart CMS.
Como o SiteCheck verifica apenas malware no lado do cliente, um grande número de ladrões de cartão de crédito não está incluído aqui nesses conjuntos de dados. Muitas infecções de cartão de crédito também podem ser encontradas no nível do servidor como modificações de arquivos PHP ou injeções de banco de dados, que não serão detectadas com uma verificação remota. É por isso que os serviços que oferecem varredura no lado do servidor são muito importantes.
Também vale a pena notar que não é típico que o mesmo skimmer de cartão de crédito seja encontrado em milhares de sites. Como essas campanhas geralmente são altamente direcionadas e personalizadas, o malware pode ser criado manualmente para apenas um ou um pequeno punhado de sites.
Infelizmente, mesmo um único skimmer de cartão de crédito em um domínio infectado pode ter um impacto significativo para o proprietário de um site e seus clientes.
As infecções Skimmer podem causar estragos na receita, no tráfego e na reputação da marca – resultando em fraude de cartão de crédito, roubo de identidade, recursos de servidor roubados, listas de bloqueio, conteúdo injetado e redirecionamentos maliciosos. Além disso, a falha em atender e seguir as diretrizes de conformidade com o PCI pode levar a multas significativas, penalidades ou até mesmo à incapacidade de aceitar transações com cartão de crédito em seu site.
Como se proteger contra malware de sites
Conversamos muito sobre algumas das ameaças mais comuns que o SiteCheck detectou no último trimestre. Mas e como se proteger contra todo esse malware?
Bem, a dura realidade é que a segurança nunca é 100%. Sempre há riscos associados à execução de um site. Além disso, quanto mais plugins e componentes extensíveis você tiver em seu site, mais vetores de ataque estarão disponíveis para maus atores.
Em essência, a segurança do site tem tudo a ver com redução de risco. Quanto mais camadas de proteção você tiver, mais seguro será seu ambiente.
Aqui estão algumas práticas recomendadas e técnicas de proteção que você pode aplicar ao seu site para ajudar a reduzir o risco de malware.
Corrija seu software
Em primeiro lugar, faça um grande favor a si mesmo e mantenha todo o software do seu site atualizado com as atualizações mais recentes.
Isso inclui seu CMS principal, plugins, temas e outros componentes extensíveis. Os invasores usam scripts automatizados para verificar as interwebs em busca de sites vulneráveis, portanto, independentemente de você ter 100 visitantes por mês ou 100 milhões – os hackers estão à procura de vulnerabilidades conhecidas e podem encontrá-las. A aplicação de patches pode ajudar a mitigar isso.
Use senhas exclusivas fortes
Em segundo lugar, use senhas fortes e exclusivas para todas as suas contas.
Isso inclui sFTP, credenciais de banco de dados, logins de administrador – você escolhe, deve ser único, imprevisível e longo . Isso significa que não há senha123 ou reutilização de senhas para suas contas. Você pode tentar incluir combinações de caracteres especiais, números, letras maiúsculas e minúsculas para melhorar a entropia. Os gerenciadores de senhas podem ser úteis para gerar e armazenar suas senhas com segurança.
Usar autenticação multifator
Em terceiro lugar, obtenha algum 2FA em seus painéis de administração .
Os comprometimentos do painel do administrador estão nos ataques mais comuns que os sites diários do WordPress enfrentam. Portanto, ao adicionar autenticação multifator ao seu painel, você estará dando um passo importante na prevenção de ataques de força bruta e senhas lá. Isso pode ser feito instalando um plugin WordPress 2FA respeitável ou usando o Firewall Sucuri para habilitar a funcionalidade em seu site.
Use SSL para criptografar dados
Em quarto lugar, instale certificados SSL para criptografar dados à medida que se movem entre o navegador do visitante e o servidor web.
O SSL não pode proteger um site da infecção por malware. Mas é importante para proteger a comunicação servidor-cliente e essencial para a conformidade com PCI ou qualquer site que manipule dados de formulário confidenciais, informações de cartão de crédito, senhas, identificação de usuários etc.
Coloque seu site atrás de um WAF
Em quinto lugar, coloque seu site atrás de um firewall de aplicativo da web .
Na verdade, alguns firewalls, como o firewall Sucuri, podem ajudar a mitigar vulnerabilidades conhecidas de sites por meio de patches virtuais . Além disso, você poderá aproveitar as páginas protegidas para restringir o acesso apenas a determinados IPs. Mas o mais importante, os firewalls podem ajudar a proteger seu site contra ataques inspecionando e filtrando pacotes maliciosos. Isso significa proteção extra contra ataques de força bruta, bots ruins e DDoS.
Verifique e monitore quaisquer alterações na integridade do arquivo
Por fim, considere aproveitar uma ferramenta de monitoramento de integridade de arquivos . Embora não seja viável para todos os ambientes, a integridade dos arquivos pode ajudar em alguns ambientes de sites a identificar problemas de segurança e possíveis indicadores de comprometimento, verificando e verificando a integridade dos arquivos do site.
E se você encontrar malware em seu site , não entre em pânico. Entre em contato com seu provedor de serviços de segurança de site favorito para obter assistência para limpar a infecção.
Por fim, o botão abaixo contém o relatório completo.