Банды вымогателей используют SEO-отравление, чтобы заразить посетителей

37
Северокорейские разработчики выдают себя за американских фрилансеров и помогают хакерам правительства ДРПК

Исследователи обнаружили две кампании, связанные либо с бандой вымогателей REvil, либо с бэкдором SolarMarker, которые используют отравление SEO для доставки полезной нагрузки целям.

Отравление SEO, также известное как «отравление поиска», — это метод атаки, основанный на оптимизации веб-сайтов с использованием методов «черной шляпы» SEO для повышения рейтинга в результатах поиска Google.

Из-за своего высокого рейтинга жертвы, попадающие на эти сайты, считают, что они легитимны, а акторы получают большой приток посетителей, которые ищут определенные ключевые слова.

SEO для программ-вымогателей

Согласно выводам команды Menlo Security, распространители вредоносных программ увеличивают количество случаев заражения SEO, двумя яркими примерами которых являются кампании Gootloader и SolarMarket.

Актеры вводят на сайты ключевые слова, которые охватывают более 2 000 уникальных поисковых запросов, в том числе «спортивная психологическая стойкость», «обзор промышленной гигиены», «пять уровней оценки профессионального развития» и т. l.

Оптимизированные сайты отображаются в результатах поиска в виде файлов PDF, которые при посещении предлагают пользователю загрузить документ, как показано ниже.

Когда они нажимают кнопку загрузки, пользователи перенаправляются через серию сайтов, которые в конечном итоге сбрасывают вредоносную полезную нагрузку.

Злоумышленники используют эти перенаправления, чтобы предотвратить удаление своих сайтов из результатов поиска для размещения вредоносного контента.

В этих конкретных кампаниях злоумышленники либо сбрасывали REvil через Gootloader, либо через бэкдор SolarMarker.

Использование уязвимости плагина WordPress

В двух кампаниях, обнаруженных исследователями, участники не создавали свои собственные вредоносные сайты, а вместо этого взламывали законные сайты WordPress, которые уже имели хороший рейтинг в поиске Google.

Сайты были взломаны путем злоупотребления нераскрытым недостатком в плагине WordPress ‘Formidable Forms’, который хакеры использовали для загрузки зашнурованного PDF-файла в папку ‘/ wp-content / uploads / formidable /’.

Если вы используете именно этот плагин, рекомендуется обновить его до версии 5.0.10 или более поздней, даже если 5.0.07 была самой последней версией, обнаруженной в скомпрометированном наборе.

Распространение более широкой сети

Когда в 2012 году были впервые запущены современные программы-вымогатели с шифрованием, злоумышленники широко распространили свои атаки в надежде заразить как можно больше людей.

Поскольку банды программ-вымогателей теперь нацелены на крупные компании с целью получения многомиллионных выплат, такой подход «спрей и молись» встречается не так часто, как вы, вероятно, заразите потребителей, которые не захотят платить большие выкуп.

Однако BleepingComputer знает об одном филиале REvil, который проводил широкомасштабные атаки, чтобы заразить как потребителей, так и малый бизнес.

Вместо того, чтобы требовать сотни, если не миллионы долларов в качестве выкупа, этот филиал потребовал бы от 1500 до 7500 долларов.

Хотя неизвестно, использовал ли этот филиал атаки отравления SEO, этот тип атаки соответствовал бы их модели неизбирательного нацеливания на любых жертв.

Последнее обновление 10 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии