# T1608.006 - Stage Capabilities: SEO Poisoning > [!warning] Técnica de Preparação de Infraestrutura > Adversários manipulam resultados de mecanismos de busca para posicionar páginas maliciosas no topo das pesquisas, direcionando vítimas para downloads de malware ou páginas de phishing. ## Visão Geral O envenenamento de SEO (Search Engine Optimization Poisoning) é uma técnica de preparação de infraestrutura onde adversários otimizam páginas web maliciosas para aparecerem em posições de destaque nos resultados de mecanismos de busca como Google e Bing. A técnica explora a confiança que usuários depositam nos resultados orgânicos de busca, criando uma superfície de ataque altamente eficaz para distribuição de malware. O processo envolve a criação de sites com conteúdo otimizado para termos de busca específicos - frequentemente relacionados a downloads de software, templates corporativos, formulários governamentais ou ferramentas profissionais. Quando a vítima clica no resultado aparentemente legítimo, é redirecionada para uma página que distribui [[s1138-gootloader|Gootloader]], infostealers como [[s0154-cobalt-strike|Cobalt Strike]] beacons, ou outros payloads maliciosos. Famílias de malware como [[s1138-gootloader|Gootloader]] e SolarMarker são particularmente conhecidas por usar SEO poisoning como vetor primário de acesso inicial. O [[s1138-gootloader|Gootloader]], por exemplo, utiliza sites WordPress comprometidos para hospedar páginas otimizadas para termos jurídicos e de negócios, afetando escritórios de advocacia e departamentos jurídicos globalmente. No contexto da [[t1566-phishing|T1566 - Phishing]], o SEO poisoning funciona como uma alternativa que não requer envio de e-mails - a vítima "vem até o atacante" voluntariamente através de uma busca orgânica, o que torna a detecção significativamente mais difícil. ## Attack Flow ```mermaid graph TB subgraph "Resource Development" A["🔍 Pesquisa de Keywords<br/>Termos populares do alvo"] B["🌐 Infraestrutura SEO<br/>Sites comprometidos/registrados"] C["📄 Conteúdo Otimizado<br/>Páginas com keywords + payload"] end subgraph "Execution" D["🎯 Vítima Busca Termo<br/>Google/Bing retorna resultado"] E["💥 Download Malicioso<br/>Payload entregue via busca"] end A --> B --> C --> D --> E classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef neutral fill:#3498db,stroke:#2980b9,color:#ecf0f1 classDef highlight fill:#e67e22,stroke:#d35400,color:#ecf0f1 class A,B,C attack class D highlight class E neutral ``` ## Como Funciona ### Técnicas de SEO Malicioso | Método | Descrição | Exemplo | |--------|-----------|---------| | **Typosquatting + SEO** | Domínios similares otimizados para busca | `download-7zip[.]com` | | **WordPress comprometido** | Sites legítimos com páginas maliciosas injetadas | Gootloader em sites jurídicos | | **Cloaking** | Conteúdo diferente para crawler vs. usuário | Googlebot vê texto; usuário vê redirect | | **Link farming** | Rede de backlinks para elevar ranking | Centenas de sites interligados | | **Keyword stuffing** | Páginas saturadas com termos-alvo | Templates fiscais, contratos | ### Cadeia Típica de Infecção 1. Adversário identifica termos de busca populares no segmento-alvo 2. Compromete sites WordPress ou registra domínios otimizados 3. Cria páginas com conteúdo relevante para os termos-alvo 4. Usuário busca o termo e clica no resultado malicioso 5. Página exibe falso fórum/download e entrega payload (.zip, .js, .lnk) 6. Payload executa segundo estágio via [[t1059-001-powershell|T1059.001 - PowerShell]] ou [[t1059-007-javascript|T1059.007 - JavaScript]] ## Detecção | Método | Fonte de Dados | Indicadores | |--------|----------------|-------------| | Proxy/DNS logs | Firewall, DNS sinkhole | Acesso a domínios recém-registrados com conteúdo popular | | Análise de downloads | EDR, Endpoint logs | .zip/.js baixados de sites não-corporativos após busca | | Web filtering | Proxy categorization | Páginas com cloaking (conteúdo diferente por user-agent) | | Threat intel feeds | IOC feeds | Domínios reportados em campanhas Gootloader/SolarMarker | | Correlação temporal | SIEM | Download seguido de execução de script em < 60s | ### Regra Sigma ```yaml title: Possível Download via SEO Poisoning id: 7a8c3d1e-2b4f-4e6a-9c0d-5f1e8a2b3c4d status: experimental description: Detecta downloads de arquivos suspeitos após navegação em mecanismo de busca logsource: category: proxy product: web detection: selection_search: c-uri|contains: - 'google.com/search' - 'bing.com/search' - 'google.com.br/search' selection_download: cs-uri-extension: - 'zip' - 'js' - 'lnk' - 'iso' timeframe: 60s condition: selection_search | near selection_download falsepositives: - Downloads legítimos de software após busca level: medium tags: - attack.resource_development - attack.t1608.006 ``` ## Mitigação - **Filtro de conteúdo web** - Bloquear categorias de sites não-categorizados ou recém-registrados via [[m1021-restrict-web-based-content|M1021]] - **Controle de downloads** - Restringir execução de .js, .lnk, .iso baixados da internet via Group Policy - **DNS filtering** - Utilizar serviços como Cisco Umbrella ou Cloudflare Gateway para bloquear domínios maliciosos - **Conscientização** - Treinar usuários para verificar URLs antes de baixar arquivos de resultados de busca - **Application control** - Impedir execução de scripts não-assinados via [[WDAC]] - **Threat intelligence** - Manter feeds de IOCs atualizados com domínios de campanhas SEO ativas ## Relevância LATAM/Brasil O SEO poisoning é particularmente eficaz no Brasil por diversos fatores: - **Termos de busca em português** - Adversários criam páginas otimizadas para termos como "modelo de contrato", "nota fiscal eletrônica", "declaração IRPF", "boleto bancário" e "DARF" que atraem milhões de buscas mensais - **Gootloader no Brasil** - Campanhas documentadas usando termos jurídicos em português ("acordo extrajudicial", "procuração") para atingir escritórios de advocacia brasileiros - **Software pirata** - Buscas por "download grátis" de softwares comerciais são extremamente populares no Brasil, criando superfície de ataque massiva para distribuição de infostealers - **Contexto fiscal** - Períodos de declaração de imposto de renda (março-abril) geram picos de buscas por formulários e ferramentas da [[financial|Receita Federal]], explorados por campanhas de SEO poisoning - **Baixa adoção de EDR** - Muitas PMEs brasileiras não possuem proteção endpoint avançada, permitindo que payloads executem sem detecção ## Referências - [MITRE ATT&CK - T1608.006](https://attack.mitre.org/techniques/T1608/006/) - [Mandiant - Gootloader SEO Poisoning](https://www.mandiant.com/resources/blog/gootloader-seo-poisoning) - [Trend Micro - SEO Malware Distribution](https://www.trendmicro.com/en_us/research.html) - [Unit 42 - SolarMarker Campaign Analysis](https://unit42.paloaltonetworks.com/feed/)