Gootloader использует SEO poisoning для распространения вредоносного ПО
03/03/21
По словам специалистов компании Sophos Labs Габора Саппаноша (Gabor Szappanos) и Эндрю Брэндта (Andrew Brandt), Gootloader – это чрезвычайно сложный фреймворк для доставки на атакуемые системы вредоносного ПО. В настоящее время помимо Gootkit (и в некоторых случаях вымогателя REvil) он доставляет и другие вредоносные программы, в том числе троян Kronos и Cobalt Strike.
Gootloader известен своим многоступенчатым процессом атаки, техниками обфускации, а также использованием метода доставки вредоносного ПО, известным как «заражение SEO» (SEO poisoning). Данный метод предполагает использование на подконтрольных злоумышленникам сайтах слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря ему вредоносные сайты с ссылками, запускающими цепочку атак Gootloader, может увидеть больше потенциальных жертв.
«Метод доставки вредоносного ПО, впервые предложенный злоумышленниками, стоящими за вымогателем REvil и банковским трояном Gootkit, в последнее время переживает возрождение, поскольку телеметрия показывает, что преступники используют его для развертывания массива вредоносных программ в Южной Корее, Германии, Франции, и по всей Северной Америке», - сообщили исследователи.
Для осуществления атаки «заражение SEO» злоумышленники сначала взломали большое количество легитимных сайтов и создали сеть примерно из 400 серверов. При этом владельцы сайтов и понятия не имеют о том, что их ресурсы используются таким образом. Каким образом хакеры взламывают сайты, неизвестно. Однако, как правило, для этого используется целый ряд техник, в том числе получают пароли администраторов с помощью вредоносного ПО Gootkit, покупают учетные данные на черном рынке или эксплуатируют уязвимости в темах и плагинах для систем управления контентом (CMS).
После взлома хакеры настраивают CMS таким образом, чтобы использовались нужные им тактики SEO. Целью киберпреступников является поднять скомпрометированный ресурс наверх в поисковой выдаче, когда пользователь вводит определенный вопрос. Например, после введения вопроса «Нужен ли договор пользования общей части объектов недвижимости для продажи дома?» в результатах поиска появлялся сайт канадского медучреждения, оказавшийся взломанным хакерами.
На взломанной части сайта есть «доска объявлений» с «пользователем», задающим вопрос: «Нужен ли договор пользования общей части объектов недвижимости для продажи дома?». При этом используется та же формулировка, что и в поисковом запросе, даже если она не имеет ничего общего с фактическим содержанием взломанного сайта. На этой «доске сообщений» «профиль администратора» затем отвечает на вопрос со ссылкой, якобы содержащей дополнительную информацию.
Подробнее: https://www.securitylab.ru/news/517057.php