Logo TecMundo
Segurança

Malware infecta Windows para manipular buscas no Google

Grupo de hackers utiliza módulos maliciosos e exploits para controlar servidores vulneráveis sem ser detectado; entenda como!

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule04/09/2025, às 19:15

updateAtualizado em 05/09/2025, às 09:40

Pesquisadores encontraram um novo agente de ameaças, nomeado GhostRedirector. De acordo com a ESET, que mapeou a atividade, o grupo atua em mais de 65 servidores Windows globalmente. 

Os alvos com maior incidência são Brasil, Tailândia e Vietnã – mas Estados Unidos, Canadá, Finlândia e Índia também registraram invasões. A investigação revelou que GhostRedirector usou duas técnicas não muito exploradas: um backdoor passivo C++, chamado de Rungan e um módulo malicioso de Serviços de Informações da Internet (IIS) nomeado Gamshen.

smart_display

Nossos vídeos em destaque

Rungan e Gamshen: backdoor e módulo malicioso

O Rungan é um backdoor, ou seja, uma forma de acessar sistemas, apps e redes de forma não autorizada. O fato dele ser desenvolvido em C++, adiciona uma camada a mais de gravidade, uma vez que esse tipo de linguagem de código permite controle remoto direto sobre o hardware do computador. 

Já o Gamshen, funciona como um módulo malicioso para IIS - que é um tipo de servidor Web criado pela Microsoft para seus sistemas operacionais, que manipula o tráfego. Sua principal função é detectar quando quem está navegando na web é o Googlebot - um robô do Google que rastreia a internet.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

Assim, ele consegue cometer fraudes de SEO (Otimização para Mecanismos de Busca). Na prática, isso permite que os criminosos coloquem sites fraudulentos no topo das pesquisas, para que eles estejam entre os primeiros resultados das buscas do Google, sem alertar os usuários comuns.

hacker-china

Para evitar serem excluídos por dispositivos de segurança, os atacantes também usam técnicas conhecidas como EfsPotato e BadPotato. Esses são exploits públicos - códigos que exploram vulnerabilidades de segurança de forma aberta. 

Isso torna possível que os criminosos criem contas de administrador, para manter o acesso mesmo após varreduras de antivírus, por exemplo. Além disso, esses exploits podem ser usados para baixar e executar outros componentes maliciosos com privilégios mais altos, tudo para evitar que eles percam acesso ao servidor invadido.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília

A investigação revelou que não há um alvo certo. Os criminosos já miraram servidores ligados à setores como educação, saúde, seguros, transporte, tecnologia e varejo. É possível que os principais alvos sejam apenas sistemas vulneráveis.

Também como medida protetiva, eles instalam o GoToHTTP. Com esta ferramenta, os cibercriminosos têm uma “porta de serviço” paralela, legítima aos olhos do sistema, que permite voltar a qualquer momento, mesmo se os outros malwares forem removidos. Ou seja, o GoToHTTP é mais um jeito de manter a invasão viva e discreta, garantindo que o esquema de SEO fraudulento continue funcionando sem interrupções.

Especialistas não sabem quem está por trás do esquema

A ESET afirmou que não é possível bater o martelo em quem está por trás desse ataque – mas, indícios levam à hackers chineses. Afinal, os investigadores encontraram trechos de código em chinês, certificados digitais emitidos para empresas da China e até senhas criadas com palavras em mandarim. Para a empresa de segurança, esses detalhes são pistas, não provas concretas.

O GhostRedirector não é o primeiro caso de um agente de ameaça ligado à China envolvido em fraudes de SEO por meio de módulos IIS maliciosos. No ano passado, a Cisco Talos identificou um agente de ameaças alinhado à China chamado DragonRank, que conduz fraudes em SEO. Ambos os agentes miraram em vítimas parecidas. 

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce
hack-filler

O DragonRank foi identificado na Tailândia e Índia - assim como o GhostRedirector - e também na Holanda. Também não havia indícios de setores-alvo, já que o DragonRank atacou instituições de saúde, transporte e TI. Apesar dessas semelhanças, a ESET afirma que não há razão para acreditar que ambos os grupos estão ligados.

É possível se proteger?

Por não saber quem pode ser alvo dessa operação, é possível tomar algumas precauções - e medidas de segurança - para evitar intercorrências. Conforme o detalhamento da própria ESET, todos os passos, desde a instalação do Rungan, Gamshen, EfsPotato e BadPotato, ao GoToHTTP, reforçam a importância de aplicar patches rapidamente, monitorar módulos e bloquear acessos não autorizados. 

Assim, é bom adotar algumas medidas de segurança para respaldar os sistemas e evitar vulnerabilidades que possam ser exploradas.

  • Atualizar Windows e IIS: aplicar patches de segurança o quanto antes;
  • Restringir exposição do IIS: só o necessário fica acessível na internet;
  • Monitorar módulos e contas: verificar DLLs estranhas no IIS e criação de contas admin;
  • Auditar logs de acesso: checar se há respostas diferentes para o Googlebot;
  • Usar EDR/antivírus no servidor: detectar backdoors e comportamento suspeito;
  • Bloquear softwares de acesso remoto não autorizados (tipo GoToHTTP);
  • Ter plano de resposta a incidentes: manter backups prontos e equipe preparada.

Se quiser saber mais sobre golpes e ataques cibernéticos, acompanhe o TecMundo nas redes sociais e no YouTube. Para receber notícias sobre tecnologia e segurança, se inscreva em nossa newsletter.
 

Perguntas Frequentes

O que é o GhostRedirector e como ele atua?
GhostRedirector é um novo agente de ameaças identificado pela ESET que infecta servidores Windows para manipular resultados de busca no Google. Ele utiliza técnicas sofisticadas, como o backdoor Rungan e o módulo malicioso Gamshen, para manter acesso aos sistemas e realizar fraudes de SEO, promovendo sites fraudulentos nos resultados de busca.
Quais são os principais componentes usados no ataque?
Os principais componentes são o Rungan, um backdoor passivo escrito em C++ que permite controle remoto do sistema, e o Gamshen, um módulo malicioso para o servidor IIS da Microsoft. Além disso, os hackers utilizam os exploits EfsPotato e BadPotato para obter privilégios administrativos e o software GoToHTTP para manter acesso persistente e discreto ao sistema.
Como o Gamshen manipula os resultados de busca do Google?
O Gamshen detecta quando o tráfego vem do Googlebot, o robô de indexação do Google, e responde com conteúdo manipulado. Isso permite que os criminosos promovam sites fraudulentos nos primeiros resultados de busca, enganando o sistema de SEO sem alertar os usuários comuns.
Quais países foram mais afetados pelo GhostRedirector?
Os países com maior incidência de ataques são Brasil, Tailândia e Vietnã. No entanto, também foram registrados casos nos Estados Unidos, Canadá, Finlândia e Índia, totalizando mais de 65 servidores comprometidos globalmente.
Existe um setor específico sendo alvo dos ataques?
Não. A investigação da ESET mostra que os ataques não têm um setor-alvo definido. Já foram comprometidos servidores ligados à educação, saúde, seguros, transporte, tecnologia e varejo. O critério principal parece ser a vulnerabilidade dos sistemas.
Quem está por trás do GhostRedirector?
A identidade dos responsáveis ainda é desconhecida. No entanto, há indícios que apontam para hackers chineses, como trechos de código em chinês, certificados digitais de empresas da China e senhas com palavras em mandarim. Esses elementos são considerados pistas, mas não provas definitivas.
Como se proteger contra esse tipo de ataque?
É essencial aplicar atualizações de segurança no Windows e no IIS, restringir a exposição do IIS à internet, monitorar módulos e contas administrativas, auditar logs de acesso, usar soluções de segurança como EDR e antivírus, bloquear softwares de acesso remoto não autorizados e manter um plano de resposta a incidentes com backups atualizados.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 1 dia
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA