)
Mais uma vez, cibercriminosos manipulam rankings de mecanismos de busca para enganar usuários do Google Chrome. Um trojan recém identificado, nomeado ChimeraWire simula atividades das vítimas, aumentando a visibilidade de sites específicos nos resultados de busca do Google e Bing.
Ao invés de roubar senhas, o malware automatiza buscas, carregando sites maliciosos e realizando cliques, tudo por meio de uma instância oculta do Chrome que ele baixa e executa em modo de depuração, que permite que desenvolvedores corrijam erros em códigos e aplicativos.
Nossos vídeos em destaque
Ele é implantado no estágio final de um processo de infecção em camadas. A Doctor Web, empresa que descobriu a campanha, descreve duas cadeias separadas que levam à sua instalação, ambas envolvendo trojans de download, escalonamento de privilégios e truques de persistência no sistema.
Como o malware infecta computadores
A primeira cadeia começa com a infecção por meio de um downloader, que verifica ambientes virtuais. Quando o sistema parece real – e não um ambiente de testes para pesquisadores de cibersegurança, ele permite que um script baseado em Python e uma DLL maliciosa sejam baixados. Para isso, ele usa um sequestro conhecido da ordem de busca de DLL do Windows para elevar privilégios.
Depois ele usa um utilitário assinado do OneDrive para carregar outra DLL maliciosa – é como um lobo em pele de cordeiro. E é aí que entra o ChimeraWire.
Na segunda cadeia, o malware se disfarça como um processo normal do Windows e modifica bibliotecas do sistema operacional para executar seu próprio código. Ele então explora vulnerabilidades antigas em componentes do Windows que muitos usuários nunca atualizaram, conseguindo direitos de administrador no computador.
Com esse nível de acesso, ele cria tarefas agendadas que garantem sua permanência no sistema, mesmo após reinicializações.
A estratégia de manipulação de buscas
Uma vez instalado, o ChimeraWire revela seu verdadeiro propósito. Ele baixa uma versão específica do navegador Chrome de um site externo e instala extensões especializadas em burlar sistemas de verificação CAPTCHA, aqueles testes de "não sou um robô".
O navegador é então aberto em modo invisível, sem que o usuário perceba qualquer atividade. O malware estabelece uma conexão criptografada com um servidor controlado pelos criminosos, que funciona como um centro de comando enviando instruções detalhadas.
Essas instruções são extremamente específicas: quais termos buscar no Google ou Bing, quais sites abrir, quantos links clicar, quanto tempo permanecer em cada página. O mais impressionante é que o ChimeraWire foi programado para imitar o comportamento humano com precisão assustadora. Ele não clica nos links de forma mecânica e previsível.
Em vez disso, usa padrões probabilísticos, faz pausas aleatórias como se estivesse lendo o conteúdo, e varia a ordem das interações. É essencialmente um ator digital seguindo um roteiro, mas com liberdade para improvisar e parecer natural.
Como o ChimeraWire engana sistemas anti-bot
O malware foi programado para realizar dois tipos principais de cliques: navegar pelos resultados de busca e abrir links relevantes em novas abas que ficam escondidas em segundo plano.
O processo funciona assim: primeiro, o ChimeraWire usa o Google ou Bing para buscar sites específicos usando palavras-chave que recebeu nas instruções. Quando os resultados aparecem, ele abre os sites encontrados e varre todas as páginas em busca de links clicáveis.
Todos esses links são colocados em uma lista, mas aqui vem o truque inteligente: ele embaralha completamente a ordem dos links. Isso é crucial porque sistemas de proteção contra robôs monitoram se os cliques acontecem sempre na mesma sequência, de cima para baixo. Um humano de verdade não clica sempre na mesma ordem, e o malware sabe disso.
Em seguida, o ChimeraWire analisa se os links encontrados correspondem aos critérios que recebeu do servidor de comando. Dependendo de quantos links adequados ele encontra, o malware escolhe entre duas estratégias diferentes.
Primeira estratégia - quando há links suficientes: Se a página tem muitos links que correspondem às palavras-chave desejadas, o malware organiza esses links por relevância, colocando os mais importantes no topo da lista. Depois, ele clica em um ou vários desses links prioritários, cumprindo sua missão de forma direcionada.
)
Segunda estratégia - quando há poucos ou nenhum link ideal: Aqui é onde o ChimeraWire mostra sua verdadeira sofisticação. Ele ativa um algoritmo de "comportamento probabilístico" que imita decisões humanas imperfeitas. Por exemplo, ele pode receber instruções como ["1:90", "2:10"], o que significa: "clique em 1 link com 90% de probabilidade, ou clique em 2 links com 10% de probabilidade".
É como jogar dados ponderados - na maioria das vezes ele clica em apenas um link (como uma pessoa apressada faria), mas ocasionalmente clica em dois (como alguém mais curioso).
O link escolhido é sorteado aleatoriamente daquela lista embaralhada que ele criou antes.
Depois de cada clique, o malware decide se volta para a aba anterior do navegador ou avança para a próxima, dependendo da tarefa específica que está executando. Esse vai e vem entre abas também imita o comportamento errático de navegação humana. O processo todo se repete em loop até que o número programado de cliques nos sites-alvo seja atingido.
Essa combinação de randomização, probabilidades variáveis e decisões aparentemente "imperfeitas" torna o ChimeraWire extremamente difícil de distinguir de um usuário real, mesmo para sistemas avançados de detecção de bots.
Por que criminosos manipulam resultados de busca
O objetivo de toda essa sofisticação é simples, mas extremamente lucrativo: manipular os rankings de busca do Google e Bing. Ao gerar milhares de "visitas" que parecem completamente legítimas, o malware faz os mecanismos de busca acreditarem que determinados sites são populares e relevantes, elevando-os nos resultados.
- Marketing de afiliados fraudulento: o uso principal do ChimeraWire está ligado a esquemas de afiliados. Quando um site aparece no topo das buscas para termos lucrativos como "melhor VPN" ou "comprar celular barato", cada clique pode gerar comissões. Multiplicado por milhares de buscas diárias, isso se torna um negócio milionário;
- Venda de serviços falsos de SEO: criminosos podem oferecer "otimização para mecanismos de busca" a empresas legítimas, prometendo primeira página no Google. O cliente acha que contratou marketing digital, mas está financiando fraude baseada em tráfego automatizado.
- Promoção de sites maliciosos: fazer páginas de phishing ou sites que distribuem malware aparecerem bem posicionados aumenta drasticamente o número de vítimas. É como colocar uma armadilha na rua mais movimentada da cidade digital;
- Sabotagem de concorrentes: alguns criminosos são contratados para poluir resultados de busca de empresas rivais, fazendo sites negativos subirem no ranking quando alguém busca pelo nome da companhia-alvo.
Para o Google e o Bing, o tráfego parece genuíno, tornando esse tipo de fraude particularmente difícil de detectar com sistemas automatizados. A ausência de uma vítima óbvia gritando por ajuda torna a operação silenciosa e constante.
Outras capacidades do malware
O ChimeraWire também suporta outras tarefas como ler o conteúdo da página, tirar screenshots e até preencher formulários web. Essas funções ainda não estão totalmente utilizadas, mas poderiam ser ativadas em versões futuras.
A infraestrutura do malware sugere espaço para expansão em automação mais ampla ou raspagem de dados se os operadores optarem por seguir esse caminho, aumentando ainda mais o potencial de danos.
Para continuar informado sobre este caso, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
