黑客利用网站在部署恶意软件之前为其提供了出色的SEO
网络攻击者已转向搜索引擎优化(SEO)技术,以将恶意软件有效载荷部署到尽可能多的受害者中。
根据Sophos的说法,所谓的搜索引擎“优化”。该方法既包括SEO技巧,又包括对人类心理的滥用,以推动已经被Google排名破坏的网站。
网站管理员可以使用SEO优化来合法地提高其网站在Google或Bing等搜索引擎上的曝光率。但是,Sophos说,威胁行为者现在正在篡改网站的内容管理系统(CMS),以提供金融恶意软件,漏洞利用工具和勒索软件的服务。
网络安全团队在周一的博客文章中说,这种技术被称为" Gotloader"。涉及为Gootkit远程访问木马(RAT)部署感染框架,该框架还提供了其他各种恶意软件有效载荷。
使用SEO作为部署Gootkit RAT的技术并非易事。研究人员估计,必须在任何给定时间维护一个由400个服务器组成的服务器网络(如果不是更多的话)。
研究人员说,虽然最初尚不清楚是否使用特定的攻击手段来破坏这些域,但运行网站后端的CMS可能已通过恶意软件,被盗凭据或暴力攻击被劫持。
一旦威胁参与者获得访问权限,就会在网站内容主体中插入几行代码。进行检查以确定受害人是否是目标对象(例如基于其IP和位置),并且最普遍接受来自Google搜索的查询。
被Gootloader破坏的网站被操纵来回答特定的搜索查询。在Sophos观察到的被黑网站中,假留言板是一个不变的主题,其中“#subtle"进行了修改,以重写网站内容如何呈现给某些访问者。
如果满足正确的条件(并且以前没有从访问者的IP地址访问过该网站),则运行服务器端的恶意代码会重新绘制该页面,以使访问者看上去他们已经跌入留言板或博客评论区域,人们正在讨论完全相同的主题," Sophos说。
如果攻击者不符合标准的情况下,浏览器将显示一个看似正常的网页-最终将其分解为垃圾文本。
然后将显示一个伪造的论坛帖子,其中包含对该查询的明显答案以及直接下载链接。在小组讨论的一个例子中,一家合法的新生儿诊所的网站被泄密,以显示有关房地产问题的虚假答案。
单击直接下载链接的受害人将获得一个.zip存档文件,该存档文件相对于搜索词进行了命名,其中包含一个.js文件。
.js文件将执行,在内存中运行,然后解密的代码将被解密以调用其他有效负载。
据Sophos称,该技术正被用于在韩国,德国,法国和美国传播Gootkit银行木马,Kronos,Cobalt Strike和REvil勒索软件以及其他恶意软件变体。
在某些时候,如果最终用户认识到迹象,就可以避免感染。 研究人员说。 问题是,即使训练有素的人也容易被Gootloader的创作者所使用的一系列社会工程技巧所迷惑。 诸如Firefox的NoScript之类的脚本阻止程序可以通过防止初次替换被黑客入侵的网页来帮助谨慎的网络冲浪者保持安全,但并非所有人都使用这些工具。 有小费吗? 通过WhatsApp安全地联系| 在+447713 025499处发出信号,或在Keybase上超过:charlie0
