Recentemente, um dos maiores ataques cibernéticos relacionados à cadeia de suprimentos digitais do ano foi desencadeado por uma empresa desconhecida que desviou grande quantidade de usuários da internet para uma rede de sites falsos de apostas. Segundo especialistas em segurança, a empresa, identificada como FUNNULL, adquiriu o domínio Polyfill.io, que hospeda uma biblioteca de JavaScript de código aberto. Esta biblioteca é projetada para permitir que navegadores desatualizados executem funções disponíveis em versões mais modernas. Assim, ao assumir o controle deste serviço legítimo, a FUNNULL executou um ataque à cadeia de suprimentos, manipulando sua posição para injetar malware em milhões de sites, afetando potencialmente os visitantes desses portais.
No momento da compra do domínio, o autor original da Polyfill alertou os desenvolvedores e administradores de sites sobre o risco envolvido, enfatizando que nunca havia possuído o domínio. Como uma medida de precaução, provedores de redes de entrega de conteúdo, como Cloudflare e Fastly, disponibilizaram suas próprias versões seguras da Polyfill.io, proporcionando alternativas confiáveis para aqueles que continuavam a usar a biblioteca. De fato, a situação parecia nebulosa, e a verdadeira intenção por trás do ataque permanece um mistério. Willem de Groot, fundador da Sansec, um renomado escritório de segurança cibernética, caracterizou o esforço como uma tentativa “risivelmente ruim” de monetização
Agora, investigadores da Silent Push revelaram que mapearam uma rede composta por milhares de sites de apostas chineses, diretamente ligada à FUNNULL e ao ataque à cadeia de suprimentos da Polyfill.io. No relatório dos pesquisadores, que foi compartilhado previamente com a TechCrunch, eles afirmam que a FUNNULL utilizou seu acesso ao Polyfill.io não apenas para injetar malware, mas também para redirecionar os visitantes dos sites para a rede maliciosa de cassinos e sites de apostas online. “Parece provável que esta ‘rede de apostas online’ seja uma fachada”, declarou Zach Edwards, analista sênior de ameaças e um dos pesquisadores envolvidos no relatório da Silent Push. Segundo ele, a FUNNULL está “operando o que parece ser um dos maiores anéis de jogos online da internet”.
No decorrer da investigação, os pesquisadores conseguiram identificar cerca de 40.000 websites, predominantemente em língua chinesa, hospedados pela FUNNULL. Esses sites apresentavam domínios semelhantes, possivelmente gerados automaticamente, com uma combinação aleatória de letras e números. Eles se passavam por marcas de jogos e cassinos reconhecidas, incluindo o conglomerado de cassinos Sands, que possui o Venetian Macau; o Grand Lisboa em Macau; o SunCity Group; bem como os portais de apostas online Bet365 e Bwin.
Chris Alfred, porta-voz da Entain, empresa-mãe da Bwin, confirmou à TechCrunch que o domínio em questão não pertencia à empresa, indicando que o proprietário do site estava infringindo a marca Bwin e que seriam tomadas medidas legais para resolver a questão. Por outro lado, Sands, SunCity Group, Grand Lisboa e Bet365 não responderam aos múltiplos pedidos de comentários feitos pela mídia.
Além disso, Edwards acrescentou que os pesquisadores encontraram uma conta de GitHub de um desenvolvedor da FUNNULL, na qual discutia “movimentação de dinheiro”, um termo que acredita-se estar relacionado a lavagem de dinheiro. A página ainda continha links para canais do Telegram que mencionavam as marcas de apostas que estavam sendo impersonificadas, além de discutir movimentação financeira. “Esses sites têm o propósito principal de movimentar dinheiro”, afirmou Edwards.
Esta rede suspeita de sites está hospedada na rede de entrega de conteúdo (CDN) da FUNNULL, cujo site afirma ser “Feito nos EUA”, mas lista vários endereços de escritórios em países como Canadá, Malásia, Filipinas, Singapura, Suíça e Estados Unidos. Curiosamente, muitos desses endereços parecem não ter registros válidos no mundo real. Segundo informações extraídas pelo perfil da FUNNULL em uma plataforma destinada à indústria de jogos, eles alegam ter “mais de 30 centros de dados no continente”, provavelmente referindo-se à China continental, além de mencionar uma “sala de servidores automatizada de alta segurança”.
Curiosamente, a FUNNULL apresenta dificuldades para a mídia estabelecer contato. Tentativas da TechCrunch para buscar comentários e esclarecer a posição da empresa em relação ao aparente ataque à cadeia de suprimentos não surtiram efeito. Através do seu website, a empresa disponibiliza um endereço de e-mail inexistente e um número de telefone, supostamente situado no WhatsApp, que engana por não estar acessível. O mesmo número, quando verificado pelo WeChat, parece pertencer a uma mulher em Taiwan não vinculada à FUNNULL, deixando a comunicação ainda mais nebulosa. A conta de Skype também não teve resposta às solicitações de comentários, e a conta do Telegram que se identifica como “Sara” se limitou a responder de maneira incrivelmente evasiva.
Em meio a toda essa situação, o que se torna lamentável é a dimensão do potencial impacto que a FUNNULL poderia causar, caso decidisse realizar ataques muito mais danosos, como a instalação de ransomware, malware de limpeza ou spyware. A natureza complexa da web atual, que consiste em uma rede global de sites frequentemente construídos com ferramentas de terceiros, permite que essas ameaças se tornem cada vez mais viáveis. O atual ataque parecia focado em monetizar uma rede de sites suspeitos, mas a próxima experiência cibernética maligna poderá ser muito mais assustadora.
