ChimeraWire: O Trojan que Manipula Resultados de Busca Simulando Usuários Reais no Google e Bing

Cibercriminosos têm utilizado um novo trojan, batizado de ChimeraWire, para manipular os rankings de mecanismos de busca. Este malware simula atividades de navegação das vítimas, com o objetivo de aumentar a visibilidade de sites específicos nos resultados de busca do Google e Bing.

Em vez de roubar dados sensíveis, o ChimeraWire automatiza buscas e cliques, direcionando tráfego para sites maliciosos. Ele faz isso operando uma instância oculta do navegador Chrome, baixada e executada em modo de depuração, que é comumente usado para correção de erros em softwares.

O trojan é implantado após um complexo processo de infecção em camadas. A empresa de segurança Doctor Web, responsável pela descoberta, detalhou duas cadeias de infecção distintas que resultam na instalação do ChimeraWire. Ambas as cadeias envolvem trojans de download, escalonamento de privilégios e mecanismos de persistência no sistema.

Como o malware infecta computadores

A primeira cadeia de infecção inicia-se com um downloader que verifica se o ambiente é real ou virtual. Caso não seja um ambiente de teste, ele baixa um script Python e uma DLL maliciosa. Para escalar privilégios, o malware explora o sequestro da ordem de busca de DLL do Windows. Em seguida, um utilitário legítimo do OneDrive é usado para carregar uma DLL adicional, agindo como um ‘lobo em pele de cordeiro’ antes da ativação do ChimeraWire.

Na segunda cadeia, o malware se camufla como um processo legítimo do Windows e altera bibliotecas do sistema para executar seu código. Ele explora vulnerabilidades antigas em componentes do Windows, muitas vezes não atualizadas pelos usuários, para obter direitos de administrador no sistema. Com acesso elevado, o ChimeraWire estabelece tarefas agendadas para assegurar sua persistência, mesmo após reinicializações.

A estratégia de manipulação de buscas

Uma vez instalado, o ChimeraWire inicia sua operação principal. Ele baixa uma versão específica do navegador Chrome de uma fonte externa e instala extensões para contornar sistemas CAPTCHA. O navegador é então executado em modo invisível, sem que o usuário perceba qualquer atividade. O malware estabelece uma conexão criptografada com um servidor de comando e controle (C2) operado pelos criminosos, que envia instruções detalhadas. Essas instruções incluem termos de busca para Google ou Bing, sites a serem visitados, número de cliques e tempo de permanência nas páginas. O ChimeraWire é notável por sua capacidade de imitar o comportamento humano: ele não clica de forma mecânica, mas utiliza padrões probabilísticos, faz pausas aleatórias e varia a ordem das interações, simulando a navegação de um usuário real.

Como o ChimeraWire engana sistemas anti-bot

O ChimeraWire foi desenvolvido para executar dois tipos de cliques: navegação em resultados de busca e abertura de links relevantes em abas ocultas. O processo começa com o malware pesquisando termos específicos no Google ou Bing, conforme as instruções recebidas. Após a exibição dos resultados, ele abre os sites e escaneia as páginas em busca de links clicáveis. Uma característica engenhosa é que o ChimeraWire embaralha a ordem desses links. Essa randomização é vital para enganar sistemas anti-bot, que detectam padrões de cliques sequenciais. Em seguida, o trojan avalia a correspondência dos links encontrados com os critérios do servidor de comando, adaptando sua estratégia conforme a disponibilidade de links adequados.

  • 1. Links Suficientes: Se uma página apresenta vários links que correspondem às palavras-chave desejadas, o ChimeraWire os organiza por relevância. Ele prioriza os links mais importantes e executa cliques direcionados em um ou mais deles, visando cumprir os objetivos definidos.
  • 2. Poucos ou Nenhum Link Ideal: Em cenários com poucos ou nenhum link ideal, o ChimeraWire aciona um algoritmo de ‘comportamento probabilístico’, que replica decisões humanas imperfeitas. Por exemplo, instruções podem determinar um clique em um link com 90% de probabilidade, ou em dois links com 10% de probabilidade. Isso simula um ‘jogo de dados ponderados’, resultando em cliques únicos na maioria das vezes e múltiplos cliques ocasionalmente, mimetizando a navegação humana. O link escolhido é aleatoriamente selecionado de uma lista embaralhada. Após cada clique, o malware decide entre retornar à aba anterior ou avançar, dependendo da tarefa. Esse padrão de navegação imprevisível, combinado com randomização e probabilidades variáveis, torna o ChimeraWire extremamente difícil de ser diferenciado de um usuário real por sistemas de detecção de bots avançados.

Por que criminosos manipulam resultados de busca

O principal objetivo do ChimeraWire é a manipulação lucrativa dos rankings de busca do Google e Bing. Ao gerar milhares de ‘visitas’ que simulam ser legítimas, o malware engana os mecanismos de busca, fazendo-os crer que certos sites são populares e relevantes, resultando em sua elevação nos resultados.

  • Marketing de Afiliados Fraudulento: O uso primordial do ChimeraWire está atrelado a esquemas de marketing de afiliados. Sites promovidos pelo malware nos primeiros resultados de buscas por termos lucrativos (ex: ‘melhor VPN’, ‘comprar celular barato’) geram comissões a cada clique, transformando-se em um negócio milionário com milhares de buscas diárias.
  • Venda de Serviços Falsos de SEO: Criminosos oferecem ‘otimização para mecanismos de busca’ a empresas, prometendo a primeira página no Google. As empresas, sem saber, financiam fraudes baseadas em tráfego automatizado em vez de marketing digital legítimo.
  • Promoção de Sites Maliciosos: Elevar o posicionamento de páginas de phishing ou sites que distribuem malware aumenta significativamente o número de vítimas, agindo como uma armadilha digital em uma via movimentada.
  • Sabotagem de Concorrentes: O malware pode ser empregado para poluir os resultados de busca de empresas rivais, promovendo sites com conteúdo negativo no ranking quando o nome da companhia-alvo é pesquisado.

Para o Google e o Bing, o tráfego gerado pelo ChimeraWire parece autêntico, dificultando sua detecção por sistemas automatizados. A natureza silenciosa e constante da operação, sem vítimas evidentes, contribui para sua persistência.

Outras Capacidades do Malware

O ChimeraWire possui funcionalidades adicionais, como a leitura do conteúdo de páginas, a captura de screenshots e o preenchimento de formulários web. Embora essas funções ainda não estejam totalmente ativas, podem ser implementadas em versões futuras, expandindo o potencial de automação e raspagem de dados, e consequentemente, aumentando os danos.

Postagens Relacionadas