打击无牌照博彩的行动出现新动向:一个与中国有关联的黑客组织“GhostRedirector”被发现利用复杂恶意软件,为离岸博彩网站增强网络存在感。网络安全公司ESET研究团队在最新报告中指出,这种新型网络犯罪与博彩欺诈可能引发全球性后果。
新型漏洞操控谷歌搜索结果
ESET披露,2024年12月至2025年6月期间,GhostRedirector至少感染了65台Windows服务器。虽然多数受害者位于巴西、泰国和越南,但该公司还披露了美国、加拿大、印度、荷兰、芬兰和新加坡的零星案例。值得注意的是,该组织针对教育、医疗、交通、科技和零售等多领域展开攻击,而非聚焦单一行业。
观察到的模式表明,GhostRedirector的主要动机并非间谍活动,而是获取海量网络流量。其攻击机制虽简单直接,却惊人地高效。攻击者通常通过SQL注入漏洞入侵系统后,部署两款定制程序:Rungan后门程序可在受感染机器执行命令,而Gamshen恶意IIS模块则用于篡改搜索引擎。
与勒索软件或网络钓鱼攻击不同,Gamshen并非旨在欺骗普通用户,而是通过篡改展示给谷歌网络爬虫的内容来实施攻击。GhostRedirector利用这种攻击模式提升特定博彩网站的排名,人为抬高其在搜索结果中的位置,使毫无戒心的用户暴露在不受监管的平台中。
该恶意软件具有强韧性且难以检测
尽管普通用户可能永远不会察觉注入的代码,但公司域名沦为非法博彩工具的事实将严重损害其信誉,甚至可能导致被列入黑名单。发现该漏洞的ESET研究员费尔南多·塔维拉指出,该恶意软件巧妙规避了对受影响网站普通访客的暴露,使其更难被检测。
Gamshen仅在请求来自Googlebot时修改响应,不会向网站普通访客提供恶意内容或造成其他影响。
该团伙的武器库不仅限于Gamshen。EfsPotato和BadPotato等工具可帮助攻击者提升权限,而恶意管理员账户则确保长期控制。塔维拉指出,GhostRedirector具备惊人的持久性,能在多个访问点形成分层结构,即使清除其中一个节点也无法彻底驱逐黑客,使其能持续利用受感染基础设施作为跳板。
此次新威胁与三月发现的类似网络攻击如出一辙,当时一种JavaScript劫持程序蔓延至全球数千个合法网站。该攻击将访问者重定向至中国博彩门户网站,有时甚至伪装成bet365等知名运营商的品牌界面。两起事件的关联性显而易见——那些无法在受监管市场获得牌照的运营商,只能通过黑帽手段来提升曝光度。