CyberAdrackers已转向搜索引擎优化(SEO)技术,以便尽可能多地将恶意软件有效载荷部署到尽可能多的受害者。
根据Sophos,所谓的搜索引擎和#34;去优化"方法包括SEO技巧和滥用人类心理学,推动已经损害了谷歌&#39的排名的网站。
网站管理员使用SEO优化来合法地增加他们的网站'在谷歌或Bing等搜索引擎上曝光。然而,Sophos表示,威胁演员现在正在篡改网站的内容管理系统(CMS),以提供金融恶意软件,利用工具和赎金软件。
在星期一的博客帖子中,网络安全团队表示,这种技术,被称为" Gootloader,"涉及部署Gootkit远程访问特洛伊木马(RAT)的感染框架,其也提供各种其他恶意软件有效载荷。
使用SEO作为部署Gootkit RAT的技术不是一个小操作。研究人员估计服务器网络 - 400,如果不是更多 - 必须在任何给定的时间保持成功。
虽然它是名为A'如果使用特定的利用来首先妥协这些域名,则研究人员表示,运行网站后端的CMS可能已通过恶意软件,被盗凭据或蛮力攻击劫持。
一旦威胁演员获得访问权限,将在网站内容的身体中插入几行代码。执行检查以确定受害者是否对目标感兴趣 - 例如基于其IP和位置 - 源自Google搜索的查询是最常见的。
由Gootloader妥协的网站被操作以应答特定搜索查询。假留言板是由Sophos观察到的黑客网站的常量主题,其中"微妙"修改为"重写网站的内容是如何向某些访客提供的。"
"如果满足正确的条件(并且从访客&#39的网站上没有访问该网站),则运行服务器端的恶意代码重绘页面以向游客提供他们的外观已经偶然发现了一名留言板或博客评论区域,人们正在逐步讨论同一主题," Sophos说。
如果攻击者'标准aren' t满足,浏览器将显示一个看似正常的网页 - 最终溶解到垃圾文本中。
然后将显示一个假论坛帖子,其中包含对查询的明显答案,以及直接下载链接。在团队讨论的一个示例中,合法的新生儿诊所的网站受到影响,妥协向房地产有关的问题。
单击直接下载链接的受害者将收到一个.zip存档文件,该文件与搜索项命名,其中包含.js文件。
.js文件在内存中运行,然后解除混淆代码,以调用其他有效载荷。
根据Sophos的说法,该技术正在用于将Gootkit银行木马,Kronos,Cobalt Stress和Revil Ransomware展开,以及其他恶意软件变体,在韩国,德国,法国和美国。
"在几个点,它可以'最终用户可以避免感染,如果他们识别出标志," 研究人员说。 "问题是,甚至训练有素的人可以轻松地被社会工程技巧链子的链条欺骗Gootloader' S创作者使用。 像Firefox一样的脚本阻止者可以帮助谨慎的网络冲浪者通过阻止初始替换黑客网页发生,但不是每个人都使用这些工具。" 有一个提示? 通过Whatsapp安全地安全地联系 信号在+447713 025 499,或以键盘:Charlie0