Quando vimos o novo vídeo do Fireship ontem, lembramos imediatamente do recente ataque Polyfill. Nosso primeiro artigo foi citado e referenciado pela maioria dos veículos de notícias de cibersegurança, e uma semana depois publicamos nossa análise completa pós-ataque.
Quando o Fireship então reportou sobre o Tuaw, "The Unofficial Apple Weblog", que muitas pessoas liam antigamente, achamos correto reportar sobre isso também.
Uma rápida recapitulação antes de entrarmos nas coisas preocupantes:
Tuaw[.]com foi adquirido pela AOL, mas alguns anos depois, em 2015, foi encerrado.
Porém, há apenas algumas semanas, o site foi colocado de volta online. Eles passaram a maioria dos artigos antigos por um reescritor de IA e os colocaram de volta online. Primeiro usando nomes de autores antigos, depois renomeando vários como veremos mais tarde.
Novos artigos também foram adicionados. Uma análise mais detalhada revela que estes também são provavelmente gerados por IA de baixo nível e automatizados.
Uma empresa baseada em Hong Kong chamada "WebOrange" ocupou o domínio e agora é proprietária deste site.
O relatório do Fireship termina aí, mas aqui está o motivo pelo qual achamos que isso pode ser potencialmente um problema em formação.
Cuidado com Tuaw[.]com
No recente ataque Polyfill, vimos um caso em que vários sites ainda referenciavam o domínio Polyfill[.io] e outros em seu código. Quando o domínio foi então adquirido, foi usado para inserir código malicioso que redirecionava usuários para sites fraudulentos.
Tuaw[.] imediatamente é menos perigoso que Polyfill[.]io. Pelo que sabemos, eles nunca distribuíram scripts usados por outros sites. Mas como eles já foram um veículo de notícias muito popular, muitos sites têm links para seus artigos antigos.
Um exemplo que encontramos é este nos fóruns do MacRumors:
Esse link "tuaw[.]com/2011/03/24/wooden-ipad-2-cover-outsmarts-apples-smart-cover/" redireciona para "tuaw[.]com/ipad/accessories/".
O que pode ser suspeito, e é potencialmente um golpe em formação.
LabelCantine investigou um pouco mais a fundo há algumas semanas, e descobriu que o Tuaw mudou o nome dos antigos repórteres após ameaças de ação legal:
Também podemos ver que os últimos artigos enviados foram todos feitos em minutos de diferença um do outro:
E, embora não seja infalível, a imagem usada para Paul Terpstra é provavelmente gerada por IA:
O domínio ainda possui muito potencial de SEO e começará facilmente a ranquear alto rapidamente. Isso significa que tudo isso pode ser apenas uma jogada de SEO destinada a gerar tráfego. Monetização através de anúncios ou redirecionamentos são finais que já vimos antes.
A importância da segurança do lado do cliente
Os riscos puramente do lado do cliente são baixos com Tuaw[.]com. No entanto, é importante ficar de olho neste domínio. Esses outros domínios de propriedade desta empresa, de acordo com o LabelCantine linkado acima, seguiram técnicas semelhantes:
- iLounge[.]com
- Soup[.]io
Se seu site referencia algum deles, recomendamos que você revise e os remova.
Para manter seu site seguro contra ataques JavaScript do lado do cliente, use o cside gratuitamente agora.
