Atacantes estão explorando sites, fornecendo a eles excelente otimização para mecanismo de busca (SEO), com o objetivo de implantar cargas malware para o maior número possível de vítimas. Segundo descoberta da Sophos, o método inclui truques de SEO e o abuso da psicologia humana para jogar sites comprometidos para o topo do ranking do Google.
A técnica foi apelidada pelos pesquisadores de Gootloader, pois envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware. Através dessa técnica, os criminosos entram nos resultados de pesquisa do Google e fazem com que um resultado malicioso pareça legítimo até mesmo para o Google, diz a Sophos. Para realizar o ataque, os operadores do Gootloader mantêm uma rede de servidores hospedando sites legítimos hackeados. A Sophos estima que cerca de 400 desses servidores estejam em operação.
A Sophos diz ainda que não está claro como atacantes obtêm acesso ao back-end dos sites mas, historicamente, esses tipos de comprometimento podem ser o resultado de uma série de métodos, entre eles roubo de senhas ou explorações de segurança nos plugins ou add-ons do sistema de gerenciamento de conteúdo (CMS). Aparentemente, operadores não sabem que seus sites estão sendo abusados desta forma.
Aparentemente, a técnica está sendo utilizada para espalhar o trojan bancário Gootkit; Kronos; Cobalt Strike; e o ransomware REvil, entre outras variantes de malware, na Coreia do Sul, Alemanha, França e Estados Unidos. A empresa de segurança dá mais detalhes sobre como o ataque é realizado em publicação em seu blog (em inglês).
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.