Ao longo dos anos têm ocorrido situações onde plataformas bastante populares na internet são utilizadas para propagar malware. Como exemplo, ainda o ano passado os serviços do Google Adwords e Google Sites foram utilizados como forma de distribuir diverso conteúdo malicioso.
Mas agora, um novo esquema encontra-se a explorar os resultados de pesquisa do Google para distribuir o trojan Zeus Panda, mais concretamente através dos servidores de Googlebots. Investigadores da empresa Cisco Talos revelaram ter detetado um conjunto de tráfego estranho com origem em diversos servidores da Google, utilizados pelos bots que rastreiam a internet e os websites. No comportamento verificado, estes bots estariam a realizar vários pedidos maliciosos, o que não será certamente algo normal de acontecer.
Os investigadores afirmam que este tipo de atividade apenas poderia ser realizado sobre dois formatos: caso os servidores do Googlebot estivessem a ser utilizados em algum tipo de exploit ou através de modificações do User-Agent de forma maliciosa a partir de outros serviços da empresa – como seria o caso do Google Site.
No entanto, a investigação revelou que o ataque estaria a ser realizado diretamente pelo sistema de bots da empresa, e em causa estaria uma falha na forma como estes bots analisam os websites na Internet.
Quando um bot da Google chega a um website, este analisa todos os links existentes no mesmo e prossegue com um pedido de acesso a estes – continuando assim a descobrir novos sites pela Internet e a expandir a base de dados para os resultados.
O que estaria a ser realizado neste caso seria aproveitar este padrão de “recolha” de links dos bots para criar falsos websites com diversos links maliciosos que, quando verificados por um bot da Google, estariam a enganar os mesmos para procederem com o envio de pedidos maliciosos para terceiros.
Os bots da Google são muitas vezes considerados como seguros na maioria dos websites, pelo que os gestores dos mesmos permitem o seu acesso sem muito controlo ou limitações. Desta forma, estes tipos de pedidos maliciosos podem ser realizados sem que os gestores de sites se apercebam do ataque.
Em todo o caso, o formato do mesmo também será pouco eficaz para os atacantes. Uma vez que o bots do Google apenas permitem realizar pedidos, e não modificar nenhum tipo de conteúdo nem enviar respostas de retorno, existe pouca informação que é transmitida de volta para os criminosos. Além disso, estes não teriam controlo sobre o número de vezes que os pedidos seriam realizados, bem como a altura dos mesmos, dificultando o processo.
Uma das possíveis utilizações deste género de ataques seria, como exemplo, para explorar o Apache Struts 2 (CVE-2018-11776) - uma falha descoberta em Agosto sobre o Apache, e que permite infetar servidores e websites com vista a distribuir malware de mineração.
A Google também já confirmou este problema, afirmando que se encontra a ser aplicada uma correção para o mesmo.
Nenhum comentário
Seja o primeiro!