Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вымогательские группировки используют SEO-отравление для проведения кибератак

01/11/21

SEO poison

Исследователи в области кибербезопасности из компании Menlo Security обнаружили две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil. В ходе атак используется так называемое «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв.

Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Из-за своего высокого рейтинга в поисковых запросах вредоносные сайты выглядят легитимными, привлекая таким образом большое количество жертв.

Операторы вредоносных кампаний ввели на своих сайтах ключевые слова, охватывающие более 2 тыс. уникальных поисковых запросов, в том числе «спортивная психологическая стойкость», «обзор промышленной гигиены», «пять уровней оценки профессионального развития» и пр. Оптимизированные таким образом сайты отображаются в результатах поиска в виде PDF-файлов. Посетителям сайта предлагается загрузить документ, и после перенаправления через серию сайтов на систему пользователя загружается вредонос. Злоумышленники используют перенаправления с целью предотвратить удаление своих сайтов из результатов поиска.

В ходе данных кампаний злоумышленники устанавливали вымогательское ПО REvil через бекдоры Gootloader и SolarMarker. Киберпреступники не создавали собственные вредоносные сайты, а вместо этого взламывали легитимные порталы на WordPress, которые уже имели хороший рейтинг в поисковой системе Google.

Злоумышленники в первую очередь нацелены на сайты в сфере бизнеса, вероятно, потому, что они часто размещают PDF-файлы в форме руководств и отчетов. Сайты были взломаны путем эксплуатации уязвимости в плагине WordPress Formidable Forms, которую хакеры использовали для загрузки специального PDF-файла в папку «/ wp-content / uploads / formidable /».

Пользователям данного плагина рекомендуется обновиться до версии 5.0.10 или более поздней.

Темы:ПреступленияВымогателиMenlo SecuritySEO
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...