Una campagna di cybercrime internazionale ha preso di mira decine di server Windows, utilizzati come strumenti per manipolare i risultati di Google e favorire il posizionamento di siti di gioco online illegali. L’operazione, battezzata GhostRedirector, è stata ricostruita dai ricercatori di sicurezza informatica.
Malware usati per truccare i risultati di ricerca
Dopo l’intrusione nei sistemi, gli hacker hanno installato due nuovi software malevoli: Rungan, un backdoor che assicura l’accesso remoto continuo, e Gamshen, un trojan che agisce come modulo nei servizi IIS. Quest’ultimo non altera la navigazione dei visitatori, ma modifica le risposte inviate solo al crawler di Google, inserendo link e contenuti SEO capaci di spingere artificialmente in alto i siti di gambling non autorizzato.
Target principali: Sud America e Asia
Gli esperti hanno rilevato almeno 65 server compromessi, situati soprattutto in Brasile, Perù, Thailandia e Vietnam, con alcuni casi anche negli Stati Uniti. L’obiettivo era rafforzare la visibilità online dei portali di scommesse illegali in mercati emergenti. Settori coinvolti e rischi per le aziende
Un pericolo trasversale
La campagna non ha colpito un solo settore: tra i server infettati figurano realtà legate a sanità, istruzione, assicurazioni, trasporti, tecnologia e retail. La natura stealth di questo attacco rende difficile accorgersene: i siti vittima si accorgono dell’infezione solo quando le performance SEO crollano o quando Google segnala attività sospette. lp/AGIMEG
