Sumário executivo

Sites do governo indiano, sites educacionais e marcas financeiras conhecidas foram afetados em grande escala pelo envenenamento por SEO, fazendo com que o tráfego de usuários fosse redirecionado para sites incompletos que promovem rummy e outros jogos focados em investimentos. Neste comunicado, discutiremos as técnicas utilizadas para enganar os usuários indianos da Internet, ao realizar pesquisas para esclarecer suas dúvidas.

Visão geral

Em um desenvolvimento recente, analistas da CloudSEK descobriram o uso muito difamado do black hat Search Engine Poisoning por agentes de ameaças para levar sites focados em Rummy e Investimentos a usuários desavisados. Os alvos de interesse incluem sites com .gov.in , .ac.in TLDs e uso de palavras-chave que mencionam marcas financeiras conhecidas na Índia. Mais de 150 portais governamentais, a maioria pertencentes a governos estaduais, foram afetados em grande escala.

O que é envenenamento por mecanismos de pesquisa?

O envenenamento por mecanismos de pesquisa se refere a práticas maliciosas que visam manipular os resultados dos mecanismos de pesquisa para promover conteúdo prejudicial ou enganoso. Essas táticas geralmente são empregadas por cibercriminosos para redirecionar usuários para sites fraudulentos, distribuir malware ou lançar ataques de phishing.

Técnicas em jogo:

• Manipulação do cabeçalho do referenciador - A manipulação do cabeçalho do referenciador é uma técnica usada por agentes mal-intencionados para disfarçar a origem de uma solicitação. Isso pode ser feito usando injeção de script no código-fonte do site. Uma tática que pode ser classificada como camuflagem.

• Cloaking - A camuflagem é uma técnica na qual um site mostra conteúdo diferente para mecanismos de pesquisa e visitantes humanos. O objetivo da camuflagem é enganar os mecanismos de pesquisa e manipular classificações apresentando conteúdo otimizado para certo mecanismos de pesquisa, mas não visíveis para os usuários, usando um determinado agente de usuário.

• Preenchimento de palavras-chave: os cibercriminosos atacam palavras-chave ou eventos populares (por exemplo, notícias de última hora, produtos populares) e criam sites maliciosos otimizados para obter uma alta classificação nos resultados de pesquisa.

• Backlinking - Backlinking no blackhat SEO se refere à prática de obter backlinks por meios manipulativos, a fim de aumentar artificialmente a classificação dos mecanismos de pesquisa de um site. Isso pode incluir táticas como link farming.

• Vulnerabilidades subjacentes do sistema - Os agentes de ameaças podem possivelmente explorar vulnerabilidades subjacentes em sistemas como o CMS que hospeda conteúdo na web para criar diretórios e hospedar conteúdo neles, como arquivos com .shtml e .html extensões. No entanto, não conseguimos identificar a vulnerabilidade exata que está sendo explorada.

Como o Rummy e os jogos focados em investimentos entram em cena?

Os jogos de rummy têm uma história rica e se tornaram imensamente populares na Índia, tanto offline quanto online. O advento das plataformas de jogos online aumentou ainda mais sua popularidade. Com acesso a smartphones, internet acessível e a conveniência de jogar em casa, os jogos de rummy encontraram um grande público na Índia.

Além disso, plataformas que oferecem prêmios em dinheiro e torneios o tornaram ainda mais atraente. No entanto, embora ofereça entretenimento e oportunidades de vencer, os riscos financeiros não podem ser ignorados. Muitos jogadores superestimam suas habilidades e continuam apostando/investindo em quantias maiores, levando a perdas. O desejo de recuperar perdas, conhecido como “perseguir perdas”, geralmente aprisiona os jogadores em um ciclo de apostas crescentes.

Expressando preocupação nas mídias sociais

Desde que o desenrolar do cenário de ataque foi destacado no X (antigo Twitter) no ano passado, várias postagens semelhantes apareceram em plataformas como Linkedin, X e a agência de notícias TechCrunch.

‍

‍

‍

‍

Análise técnica

Entrelaçando manipulação de cabeçalho de referência e camuflagem de agentes de usuário: utilização de técnicas em tempo real

A inspeção do código-fonte, em um dos sites do governo indiano afetados, mostra um trecho de Javascript. A funcionalidade do trecho de código é a seguinte: -

1. Ele recupera o referenciador do documento atual (ou seja, o URL da página vinculada à página atual) e o converte em minúsculas.

2. Ele configura uma matriz contendo cadeias de caracteres de User-Agents (neste caso, “iPhone” e “Android”).

3. Ele percorre a matriz para verificar se o referenciador contém alguma das cadeias de caracteres especificadas do mecanismo de pesquisa.

4. Se uma correspondência for encontrada e o usuário for identificado como estando em um dispositivo móvel (usando uma expressão regular que verifica o navigator.userAgent), ele redirecionará o usuário para”https [:] //yono-allslots [.] com/“.

Nesse caso,”https [:] //yono-allslots [.] com/“redireciona para indorummy [.] net, outro site de jogos de rummy.

‍

‍

Para explorar se isso é realmente possível, uma pesquisa foi feita usando o idiota site “rummy”: *.gov.in, e a lógica do script foi analisada, usando o Google Developer Tools e alterando o tipo de dispositivo.

‍

‍

O roteiro estava funcionando conforme o esperado e continua demonstrando como os agentes de ameaças estão operando furtivamente, de uma forma que mais do que aparenta.

Ao verificar o script, é evidente que uma exceção é feita para navegadores baseados em desktop, nos quais os usuários preferem ver uma página de erro 404 ao clicar em resultados alterados de forma semelhante. Este é um caso de camuflagem do agente de usuário na prática.

Em outros casos, é mais direto, em que uma página de destino representando o site rummy em questão é carregada depois que o pré-carregador atinge 100%. Isso é auxiliado por meio de redirecionamento, usando Javascript e o mesmo conteúdo reflete, independentemente do agente do usuário.

‍

‍

‍

‍

Como o código está sendo injetado nos sites?

Uma possível resposta para isso seria a exploração de Funcionalidade de upload de arquivos dentro de sites combinado com Injeção de código Javascript, possivelmente utilizando XSS armazenado no processo. Nós afirmamos isso com médio confiança.

Conforme mencionado acima, durante nossa análise ao analisar mais sites, descobrimos que uma abundância de arquivos com as extensões “.shtml”, “.html” e “.aspx” foram aparentemente enviados para diretórios inexistentes, dentro dos sites afetados (indicados pelo URL do resultado da pesquisa). No entanto, não conseguimos identificar a vulnerabilidade exata que está sendo explorada.

‍

‍

Como sabemos, arquivos.shtml, ou Server Side Includes (SSI), são arquivos HTML que incluem comandos de script do lado do servidor que são processados pelo servidor da Web antes de serem enviados ao navegador da Web do cliente. Isso pode indicar que o código de redirecionamento pode ser injetado nesses arquivos

Esses arquivos são removidos após a denúncia, utilizando a Ferramenta para webmasters do Google, mas são armazenados em cache e aparecem como resultados pelo mecanismo de indexação do Google, geralmente refletindo o conteúdo do site redirecionado nos resultados da pesquisa.

‍

‍

Preenchimento de palavras-chave: utilização de técnicas em tempo real

Em um caso específico de investigação de consultas de clientes, descobrimos uma série de sites de spam ter as palavras-chave de um Banco Nacional do Setor Público e seu aplicativo bancário na primeira página, promovendo jogos de rummy.

Ao se aprofundar nesses sites, descobriu-se que os sites tinham como alvo mais empresas indianas no setor financeiro e utilizou o modelo de outros sites semelhantes, voltados para a promoção de jogos de cassino indonésios.

‍

‍

Com um eventual curso de progressão, se não for interrompido, a ameaça de que os clientes sejam enganados pode pairar sobre outras organizações, outros setores variados.

Conteúdo do site direcionado aos principais termos de pesquisa

Usando a captura de tela fornecida abaixo como exemplo, podemos ver que palavras-chave como solicitação de empréstimo e cartão, direcionadas para consultas bancárias, foram inseridas na página da web, fazendo com que os usuários acessem essas páginas não confiáveis e continuando a ver textos que os incentivam a participar de jogos de rummy.

‍Recheio de palavras-chave: A fonte desse texto vem de anúncios digitais encomendados pelo banco em questão, textos promocionais de seus sites e uma mistura de consultas comuns do pool de clientes, por exemplo, respondendo a consultas em que clientes buscam empréstimos pessoais instantâneos, com baixas taxas de juros.

‍

‍

Em um caso específico, um modelo de mensagem enviando links de phishing do Mobile SMS foi descoberto em uma página da web.

‍

‍

Os domínios de personificação criam caminhos da web direcionados às empresas, e os títulos das páginas também são personalizados para corresponder ao nome da empresa.

‍

‍

Abaixo está um exemplo de preenchimento de texto, usando um endereço de subdomínio pertencente ao governo de Telengana, em uma página semelhante que promove jogos de rummy.

‍

‍

Páginas da Web interconectadas: Chamado de “Link Farms”, isso envolve a criação de várias páginas da Web vinculadas entre si para aumentar os links recebidos e impulsionar a classificação de um site. Após mais verificações, descobriu-se que as tentativas de jogar esses jogos levaram a um site chamado “teenpattionline.game” /teenpatti.com, oferecendo uma grande variedade de jogos envolvendo apostas para ganhar recompensas.

Dentro desses jogos

Esses jogos de rummy, empacotados com vários nomes, seguem uma abordagem semelhante a fraudes de investimento, conforme ilustrado abaixo:

‍

‍

Após verificações adicionais, descobriu-se que as tentativas de jogar esses jogos levam a um site chamado”teenpattionline.jogo”, oferecendo uma infinidade de jogos envolvendo apostas para ganhar recompensas.

Por que os usuários são atraídos por esses jogos?

Benefícios oferecidos pelos jogos

1. Bônus de referência: Para cada indicação, um usuário recebe uma quantia nominal que varia de Rs 20 a 80, levando mais pessoas à beira do jogo e de uma possível ruína financeira. Novos logins do mesmo dispositivo não são contabilizados para isso.

‍

‍

2. Bônus de login: Esses jogos oferecem recompensas insignificantes por logins diários, o que os torna uma perspectiva interessante de atrair a atenção das pessoas e fazer com que elas passem diariamente em jogos

‍

‍

Estruturação da base de usuários VIP

Esse é um conceito visto na maioria dos modelos fraudulentos de açougueiro de porcos/Ponzi, em que os usuários que tendem a investir mais para obter melhores recompensas são classificados nos níveis VIP. Quanto maior o nível VIP em que você está classificado, maiores são as chances de o indivíduo ser enganado

‍

‍

Correlação com fraudes de previsão de cores

Durante uma análise mais aprofundada, uma nova maneira de enganar pessoas e tirar dinheiro pode estar surgindo, com a ajuda de jogos de previsão de cores.

De acordo com nossa pesquisa anterior sobre esse tipo de golpe, jogos e domínios que se passam por empresas proeminentes oferecem oportunidades de fazer apostas e receber recompensas monetárias, por prever a cor certa.

O golpe é semelhante ao esquema Ponzi/pirâmide, em que o dinheiro arrecadado de novos jogadores/investidores é usado para pagar lucros aos primeiros adotantes/investidores.

Nota: A possibilidade de tais jogos serem promovidos no futuro é meramente declarada como uma possibilidade, com a existência e a natureza fraudulenta de tais jogos sendo relevantes e capazes de desviar grandes quantias de dinheiro.

‍

‍

Desafios com páginas de SEO de spam

• Remover páginas de SEO de spam é difícil devido ao grande volume e à velocidade com que são criadas. Muitos operam em vários domínios, o que torna difícil rastreá-los e eliminá-los completamente.

• As organizações lutam contra o spam de SEO, pois ele desvia o tráfego do conteúdo legítimo, afetando a visibilidade e a receita.

• Falsos positivos na detecção de spam podem fazer com que conteúdo legítimo seja sinalizado erroneamente, criando riscos adicionais. As ações legais contra operadores de spam geralmente são lentas e caras, com poucas garantias de sucesso. Além disso, manter a confiança dos usuários se torna difícil, pois o spam prejudica a reputação e a credibilidade da marca

Explorando os laços de backlinking

Durante nossa análise em um site suspeito de jogo de rummy, ou seja, indorummy [.] net, descobrimos que o site tinha conexões com o emprego de serviços de backlinking. Além disso, descobriu-se que o site está listado, entre outros, nos sites da Link Farm.

‍

‍

Para fornecer mais contexto, veja como essas fazendas de links ajudam sites desonestos ou qualquer site desonesto que utilize seus serviços: -

Aumentando as classificações de pesquisa: -

• Backlinks são um fator chave de classificação no algoritmo do Google. Ter muitos links de domínios diferentes pode fazer com que os mecanismos de pesquisa pensem que “indorummy.net” é um site confiável.
• Isso pode aumentar artificialmente as classificações nas páginas de resultados dos mecanismos de pesquisa (SERPs).

Manipulação de autoridade de domínio (DA):-

• Alguns links são de sites que oferecem “DA Increase Services”, o que sugere que backlinks foram comprados.
• Esses serviços visam aumentar a autoridade de domínio (DA) de um site usando backlinks de spam.

Aumento da indexação e frequência de rastreamento

• Os mecanismos de pesquisa descobrem novos sites por meio de backlinks.
• Os links farms forçam os mecanismos de pesquisa a rastrear “indorummy.net” e sites similares com mais frequência.
• Alguns dos sites de referência podem ajudar a gerar tráfego de referência falso.

‍

‍

Informações do gráfico: -

• Crescimento repentino: por volta de novembro de 2024, houve um aumento dramático em ambas as métricas:

• Os backlinks aumentaram para cerca de 33%
• Os domínios de referência cresceram para aproximadamente 15

• Nível sustentado: após o aumento, ambas as métricas parecem ter se estabilizado em seus novos níveis mais altos até fevereiro de 2025, sugerindo que o crescimento não foi apenas uma anomalia temporária.

• Crescimento paralelo: o crescimento de backlinks e domínios de referência ocorreu simultaneamente, indicando um esforço coordenado de SEO ou um evento significativo que fez com que vários sites se vinculassem ao conteúdo ao mesmo tempo.

Foi descoberto que um identificador comum do Telegram estava vinculado a esses sites para consulta de backlinks. A alça já está inativa. Além disso, serviços na plataforma freelancer 'Fiverr' foram vinculados a esses sites. A credibilidade dessas listagens é questionável.

‍

‍

‍

Infraestrutura

Com indorummy [.] net e vc99 [.] net, entre suas outras variantes, aparecendo em navegadores geralmente a partir de resultados envenenados, nossa investigação se estendeu aos seus registros de DNS.

O que é alarmante nesse método usado pelos atores da ameaça é a grande escala de sua infraestrutura. Conseguimos identificar 12 endereços IP associados, com vários domínios com o prefixo 'bet', 'rummy' ou 'vip', apontando para plataformas de rummy/investimento e desviando o dinheiro suado das pessoas.

OBSERVAÇÃO: O intervalo 104.21.x.1 é usado pela Cloudflare como parte de seu serviço de proteção de proxy e DDoS. Quando um site usa o Cloudflare, os registros A normalmente apontam para os IPs da Cloudflare em vez do servidor real do site. Em seguida, a Cloudflare direciona o tráfego para o destino real enquanto filtra solicitações maliciosas.

A presença de vários registros A no mesmo intervalo de IP indica que os domínios estão usando vários endereços IP para balanceamento de carga, redundância ou otimização de desempenho. Por exemplo, domínios que compartilham o mesmo intervalo de IP foram destacados na tabela abaixo: -

Tabela 1 - Detalhes dos ASNs e sites associados à campanha de SEO blackhat

‍

Um problema comum é a presença de medidas de segurança frouxas nesses ASNs, tornando-os alvos atraentes para cibercriminosos que exploram vulnerabilidades e hospedam conteúdo malicioso. Além disso, alguns ASNs permitem que os usuários registrem serviços anonimamente, fornecendo um ambiente propício para que agentes mal-intencionados operem sem fácil identificação.

Alguns dos ASNs que conseguimos identificar associados à campanha e que foram denunciados por phishing, malware etc. são os seguintes:

Tabela 2 - Relatórios gerais para ASNs

‍

Tentáculos do Blackhat SEO, em sites do governo da Malásia

Durante nossa pesquisa, uma postagem no Linkedin chamou nossa atenção em que uma campanha semelhante estava acontecendo na Malásia há cerca de quatro meses, onde sites do governo estavam sendo vinculados a sites de Rummy e Casino.

‍

‍

Além disso, estabelece a verdade de que a infraestrutura insegura sempre estará imune a atividades antiéticas, se as práticas de codificação segura e a falha na proteção da infraestrutura crítica não forem seguidas. Esse não é um incidente isolado.

Mitigação

Para autoridades e pessoal relacionado

Melhorias na infraestrutura de segurança

• Implemente restrições e validação estritas de upload de arquivos.
• Examine regularmente arquivos HTML/SHTML não autorizados.
• Monitore e restrinja os recursos de injeção de scripts, adotando validação de entrada.

Monitoramento de sites

• Audite regularmente o conteúdo e os backlinks do site.
• Configure alertas para referências de domínio não autorizadas.
• Monitore os resultados dos mecanismos de pesquisa em busca de anúncios suspeitos.
• Use o Google Search Console para identificar e remover backlinks maliciosos.

Para usuários

Conscientização geral sobre segurança

• Verifique os URLs dos sites antes de clicar, especialmente para sites governamentais.
• Tenha cuidado com os resultados da pesquisa que promovem jogos ou apostas.
• Não confie em sites só porque eles aparecem nos principais resultados de pesquisa.
• Use somente lojas oficiais de aplicativos móveis.

Proteção financeira

• Nunca forneça dados bancários para plataformas de jogos desconhecidas.
• Desconfie de ofertas “boas demais para ser verdade” para ganhar dinheiro.
• Evite participar de atividades de jogo não regulamentadas.

Consciência pública

• Emita avisos públicos sobre fraudes conhecidas, para adotar uma mentalidade de priorizar o cidadão e incutir um senso de responsabilidade e conscientização.
• Forneça mecanismos de denúncia para o público.
• Avise os usuários da base de clientes sobre os jogos promovidos pela SEP distribuindo recomendações sobre a identificação de plataformas de jogos fraudulentos ou de phishing.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Os sites do governo indiano ainda estão redirecionando os usuários para sites fraudulentos - TechCrunch
• Como os golpistas estão superando o Google | Hackeamento de sites governamentais - Amit Tiwari (YouTube)
• Cadeia de redirecionamento: serviços de publicidade que estão sendo usados de forma abusiva por agentes de ameaças para redirecionar usuários para sites adultos, de apostas e de malware - Blog de pesquisa do CloudSek

Apêndice