Os golpistas realizaram uma campanha de spam em larga escala visando os sites oficiais de vários governos estaduais, municipais e locais dos EUA, agências federais e universidades. A campanha envolvia o upload de arquivos PDF contendo anúncios que promoviam serviços de hackers e atividades fraudulentas. Alguns dos sites afetados incluem aqueles pertencentes a governos estaduais (Califórnia, Carolina do Norte, New Hampshire, Ohio, Washington e Wyoming), governos de condados (Condado de St. Louis em Minnesota, Condado de Franklin em Ohio, Condado de Sussex em Delaware), municípios locais (Johns Creek na Geórgia) e universidades (UC Berkeley, Stanford, Yale e outras).
Os golpistas publicam anúncios de serviços ilegais em sites
Anúncios de golpistas em arquivos PDF levaram a sites que oferecem serviços para hackear contas do Instagram, Facebook e Snapchat, trapacear em videogames e gerar seguidores falsos. Embora a campanha tenha como objetivo principal promover serviços fraudulentos, a presença de vulnerabilidades de segurança levanta preocupações sobre possíveis atividades maliciosas. Os PDFs, encontrados por um pesquisador sênior do Citizen Lab, apontam para uma campanha de spam maior que pode ser orquestrada pelo mesmo grupo ou indivíduo.
Os especialistas destacaram que os uploads de PDF dos golpistas se aproveitaram de serviços mal configurados, bugs do sistema de gerenciamento de conteúdo (CMS) não corrigidos e outras falhas de segurança. Ao investigar os sites anunciados, descobriu-se que eles faziam parte de um esquema para gerar receita por meio de fraude de cliques. Os cibercriminosos por trás da campanha pareciam estar usando ferramentas de código aberto para criar pop-ups que verificam visitantes humanos enquanto geram dinheiro em segundo plano. A análise do código-fonte revelou que os serviços de hackers anunciados provavelmente eram falsos, apesar de mostrarem fotos de perfil e nomes de supostas vítimas.
Surgem preocupações sobre a segurança do site
Representantes de entidades afetadas, como a cidade de Johns Creek, na Geórgia, e a Universidade de Washington, disseram que o problema surgiu de falhas em um sistema de gerenciamento de conteúdo chamado Kentico CMS. No entanto, não está claro como todos os sites foram comprometidos. Em alguns casos, os golpistas exploraram falhas em formulários online ou software CMS, permitindo que eles carregassem PDFs. As organizações afetadas, incluindo o Departamento de Pesca e Vida Selvagem da Califórnia e a Universidade de Buckingham, no Reino Unido, reconheceram que seus sites não foram invadidos, mas tinham componentes mal configurados ou vulneráveis que facilitavam o carregamento não autorizado de PDFs.
Embora o impacto geral dessa campanha de spam seja mínimo, a capacidade de fazer upload de conteúdo para sites .gov levanta preocupações sobre possíveis vulnerabilidades em toda a infraestrutura digital do governo dos EUA. Incidentes anteriores, como a tentativa de hackers iranianos de adulterar a contagem de votos em um site de uma cidade dos EUA, enfatizaram a importância de proteger sites governamentais e relacionados a eleições contra ameaças cibernéticas.
Esforços estão em andamento para resolver o problema, com a agência de segurança cibernética dos EUA , CISA, coordenando as entidades afetadas e fornecendo assistência conforme necessário. As organizações afetadas tomaram medidas para remover os PDFs maliciosos, corrigir vulnerabilidades e melhorar as medidas de segurança para evitar incidentes semelhantes no futuro. No entanto, este incidente serve como um lembrete da vigilância constante necessária para proteger as plataformas online de ameaças em evolução.