Gli hacker introducono software su misura per manipolare i risultati dei motori di ricerca
In un recente allarme sulla sicurezza informatica, ESET ha rivelato l'emergere di un nuovo gruppo minaccioso noto come GhostRedirector. Questo entità dannosa è stata collegata alla Cina e identificata come una minaccia significativa, in particolare in America Latina e nel Sud-est asiatico.
GhostRedirector è stato segnalato per aver attaccato almeno 65 server Windows in Brasile, Thailandia, Vietnam e Stati Uniti nel giugno 2025. Le vittime spaziano in vari settori, tra cui istruzione, sanità, assicurazioni, trasporti, tecnologia e commercio al dettaglio.
Una volta ottenuto l'accesso, GhostRedirector assume il controllo di un server Windows e scarica una varietà di strumenti dannosi. Due di questi sono Rungan, un backdoor C++ passivo, e Gamshen, un modulo IIS dannoso.
Rungan consente a GhostRedirector di comunicare in rete, eseguire file, visualizzare i contenuti delle directory e modificare i servizi e le chiavi del registro di Windows. D'altra parte, Gamshen è progettato per manipolare i risultati delle ricerche Google e modificare la risposta quando la richiesta proviene da Googlebot. Il suo obiettivo principale è quello di indirizzare il traffico verso siti di scommesse.
In modo interessante, Gamshen modifica la risposta solo per Googlebot, lasciando inalterati i risultati di ricerca organici. Tuttavia, l'associazione di un sito web compromesso con tecniche SEO losche e siti web potenziati può danneggiare la sua reputazione, secondo il ricercatore di ESET Fernando Tavella.
GhostRedirector deploy anche più strumenti di accesso remoto sul server compromesso, tra cui il backdoor Rungan e il modulo IIS Gamshen. Una volta all'interno, crea account utente clandestini per mantenere l'accesso a lungo termine all'infrastruttura compromessa.
Il gruppo utilizza anche strumenti di escalation dei privilegi per creare un account privilegiato sul server, che può fungere da backup se altri strumenti vengono rimossi. Inoltre, si sospetta che GhostRedirector ottenga l'accesso sfruttando una vulnerabilità di injection SQL.
Oltre alla Cina, Vietnam e India sono state identificate come paesi sospetti obiettivi degli attacchi GhostRedirector sui server Windows nel giugno 2025. Molti dei server compromessi negli Stati Uniti sembrano essere stati dati in affitto a società con sede in Brasile, Thailandia e Vietnam.
In conclusione, l'emergere di GhostRedirector sottolinea l'importanza continua di misure di sicurezza informatica robuste. Le organizzazioni sono consigliate di prendere precauzioni contro gli attacchi di injection SQL e di monitorare le loro reti per qualsiasi attività insolita o accesso non autorizzato. Restate vigili, restate sicuri.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
