يستغل المتسللون مواقع الويب لمنحهم مُحسنات محركات بحث ممتازة قبل نشر البرامج الضارة

11

تحول المهاجمون عبر الإنترنت إلى تقنيات تحسين محركات البحث (SEO) لنشر حمولات البرامج الضارة لأكبر عدد ممكن من الضحايا.

وفقًا لـ Sophos ، فإن ما يسمى بطريقة “deoptimization” لمحرك البحث تتضمن كلاً من حيل تحسين محركات البحث وإساءة استخدام علم النفس البشري لدفع مواقع الويب التي تم اختراق تصنيفات Google لها.

يتم استخدام تحسين SEO بواسطة مشرفي المواقع لزيادة تعرض موقع الويب الخاص بهم بشكل شرعي على محركات البحث مثل Google أو Bing. ومع ذلك ، يقول Sophos إن الجهات الفاعلة في مجال التهديد تتلاعب الآن بأنظمة إدارة المحتوى (CMS) لمواقع الويب لخدمة البرامج المالية الضارة واستغلال الأدوات وبرامج الفدية.

في مدونة يوم الاثنين ، قال فريق الأمن السيبراني إن التقنية ، التي يطلق عليها اسم “Gootloader” ، تتضمن نشر إطار عمل العدوى لـ Gootkit Remote Access Trojan (RAT) الذي يقدم أيضًا مجموعة متنوعة من حمولات البرامج الضارة.

استخدام تحسين محركات البحث كأسلوب لنشر Gootkit RAT ليس عملية صغيرة. يقدر الباحثون أنه يجب الحفاظ على شبكة من الخوادم – 400 ، إن لم يكن أكثر – في أي وقت لتحقيق النجاح.

في حين أنه من غير المعروف ما إذا تم استخدام استغلال معين لخرق هذه المجالات في المقام الأول ، يقول الباحثون أن CMSs التي تشغل الواجهة الخلفية لمواقع الويب يمكن أن يتم الاستيلاء عليها عن طريق البرامج الضارة أو بيانات الاعتماد المسروقة ، أو هجمات القوة الغاشمة.

بمجرد حصول الجهات الفاعلة على التهديد على الوصول ، يتم إدخال بضعة أسطر من التعليمات البرمجية في نص محتوى موقع الويب. يتم إجراء عمليات التحقق للتأكد مما إذا كان الضحية موضع اهتمام كهدف – على سبيل المثال استنادًا إلى عنوان IP الخاص به والموقع – ويتم قبول الاستعلامات الصادرة من بحث Google بشكل عام.

يتم التلاعب بمواقع الويب التي تم اختراقها بواسطة Gootloader للإجابة على استفسارات بحث محددة. تعد لوحات الرسائل المزيفة موضوعًا ثابتًا في مواقع الويب المخترقة التي لاحظتها Sophos ، حيث يتم إجراء تعديلات “طفيفة” من أجل “إعادة كتابة كيفية عرض محتويات موقع الويب لزوار معينين”.

“إذا تم استيفاء الشروط الصحيحة (ولم تكن هناك زيارات سابقة إلى موقع الويب من عنوان IP الخاص بالزائر) ، فإن الشفرة الضارة التي تعمل من جانب الخادم تعيد رسم الصفحة لمنح الزائر المظهر أنهم عثروا على لوحة الرسائل أو منطقة تعليقات المدونة حيث يناقش الناس نفس الموضوع بالضبط “، كما يقول سوفوس.

إذا لم يتم استيفاء معايير المهاجمين ، فسيعرض المتصفح صفحة ويب تبدو طبيعية – والتي تتحلل في النهاية إلى نص غير مفهوم.

سيتم بعد ذلك عرض منشور منتدى وهمي يحتوي على إجابة واضحة على الاستعلام ، بالإضافة إلى رابط تنزيل مباشر. في أحد الأمثلة التي ناقشها الفريق ، تم اختراق موقع الويب الخاص بعيادة الأطفال حديثي الولادة المشروعة لإظهار إجابات زائفة للأسئلة المتعلقة بالعقارات.

screenshot-2021-02-26-at-17-36-36.png

سيتلقى الضحايا الذين ينقرون على روابط التنزيل المباشرة ملف أرشيف بتنسيق zip. ، مُسمى بالنسبة لمصطلح البحث ، يحتوي على ملف .js.

يتم تنفيذ ملف .js وتشغيله في الذاكرة ، ثم يتم فك تشفير الشفرة المبهمة لاستدعاء حمولات أخرى.

وفقًا لـ Sophos ، يتم استخدام هذه التقنية لنشر برامج الفدية المصرفية Gootkit Trojan و Kronos و Cobalt Strike و REvil ، من بين متغيرات البرامج الضارة الأخرى ، في كوريا الجنوبية وألمانيا وفرنسا والولايات المتحدة تنص على.

“في عدة نقاط ، يمكن للمستخدمين النهائيين تجنب العدوى ، إذا تعرفوا على العلامات” ، كما يقول الباحثون. “المشكلة هي أنه حتى الأشخاص المدربين يمكن أن ينخدعوا بسهولة بسلسلة حيل الهندسة الاجتماعية التي يستخدمها منشئو Gootloader. يمكن أن تساعد أدوات حظر البرامج النصية مثل NoScript لمتصفح Firefox متصفحي الويب الحذر في البقاء آمنًا عن طريق منع الاستبدال الأولي لصفحة الويب التي تم الاستيلاء عليها. ، ولكن لا يستخدم الجميع هذه الأدوات “.

    • قراصنة كوريون شماليون يطلقون روكرات طروادة في حملات ضد الجنوب

إعادة اختراع Masslogger Trojan في سعيها لسرقة بيانات اعتماد Outlook و Chrome


    • الطاقة الكولومبية وشركات المعادن تحت النار في جديد موجة هجوم طروادة