# DET0881 — Detection of SEO Poisoning ## Descrição A estratégia DET0881 trata da detecção de SEO poisoning — técnica em que adversários manipulam resultados de motores de busca para que páginas maliciosas apareçam entre os primeiros resultados quando usuários pesquisam por software legítimo, ferramentas, termos financeiros ou documentação técnica. Quando o usuário clica no resultado malicioso, é direcionado para download de trojanized installers ou páginas de phishing. Campanhas de SEO poisoning são amplamente utilizadas para distribuição de malware como BATLOADER, IcedID, SolarMarker e variantes de ransomware. Os adversários otimizam páginas maliciosas com palavras-chave relevantes (ex: "download Notepad++", "kali linux iso", "free excel templaté"), hospedam conteúdo em domínios com histórico de reputação ou abusam de plataformas de compartilhamento de conteúdo legítimas para alavancar sua autoridade de domínio nos rankings de busca. A detecção combina monitoramento de proxy web para downloads de instaladores a partir de domínios suspeitos encontrados via busca, análise de hash de instaladores antes da execução, e educação de usuários para verificar URLs de download em sites oficiais em vez de usar diretamente links de buscadores. ## Indicadores de Detecção - Download de instalador de software popular a partir de domínio diferente do site oficial do vendor - Hash de instalador baixado não correspondendo ao hash oficial públicado pelo vendor - Processo de instalação criando processo filho inesperado ou conectando a C2 externo - Domínio de download com nome similar ao vendor mas com variações (sofwarex.com, notpead.org) - Usuário relatando ter baixado software de "site oficial" com URL diferente da oficial - Instalador com certificado de assinatura de código diferente do vendor legítimo - Acesso de múltiplos usuários corporativos ao mesmo domínio malicioso em curto período ## Técnicas Relacionadas - [[T1608.006-seo-poisoning|T1608.006 — Stage Capabilities: SEO Poisoning]] - [[T1608.001-upload-malware|T1608.001 — Stage Capabilities: Upload Malware]] - [[T1204.002-malicious-file|T1204.002 — User Execution: Malicious File]] - [[t1566-002-spearphishing-link|T1566.002 — Phishing: Spearphishing Link]] - [[T1195.002-compromise-software-supply-chain|T1195.002 — Supply Chain Compromise]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an2013-analytic-2013|AN2013 — Analytic 2013]] --- *Fonte: [MITRE ATT&CK — DET0881](https://attack.mitre.org/detectionstrategies/DET0881)*