02.11.2021 | Вымогательские группировки используют SEO-отравление для проведения кибератак |
Исследователи в области кибербезопасности из компании Menlo Security обнаружили две вредоносные кампании Gootloader и SolarMarket, связанные с операторами программы-вымогателя REvil. В ходе атак используется так называемое «отравление SEO» (SEO poisoning) для установки полезной нагрузки на системы жертв. Данная техника включает использование механизмов поисковой оптимизации с целью привлечь больше внимания к вредоносным сайтам или сделать файлы-загрузчики более заметными среди результатов поисковых запросов. Из-за своего высокого рейтинга в поисковых запросах вредоносные сайты выглядят легитимными, привлекая таким образом большое количество жертв. Операторы вредоносных кампаний ввели на своих сайтах ключевые слова, охватывающие более 2 тыс. уникальных поисковых запросов, в том числе «спортивная психологическая стойкость», «обзор промышленной гигиены», «пять уровней оценки профессионального развития» и пр. Оптимизированные таким образом сайты отображаются в результатах поиска в виде PDF-файлов. Посетителям сайта предлагается загрузить документ, и после перенаправления через серию сайтов на систему пользователя загружается вредонос. Злоумышленники используют перенаправления с целью предотвратить удаление своих сайтов из результатов поиска. В ходе данных кампаний злоумышленники устанавливали вымогательское ПО REvil через бекдоры Gootloader и SolarMarker. Киберпреступники не создавали собственные вредоносные сайты, а вместо этого взламывали легитимные порталы на WordPress, которые уже имели хороший рейтинг в поисковой системе Google. Злоумышленники в первую очередь нацелены на сайты в сфере бизнеса, вероятно, потому, что они часто размещают PDF-файлы в форме руководств и отчетов. Сайты были взломаны путем эксплуатации уязвимости в плагине WordPress Formidable Forms, которую хакеры использовали для загрузки специального PDF-файла в папку «/ wp-content / uploads / formidable /». Пользователям данного плагина рекомендуется обновиться до версии 5.0.10 или более поздней. |
Проверить безопасность сайта