Οι χάκερς χρησιμοποιούν μεθόδους όπως “δηλητηρίαση” (poisoning) των αποτελεσμάτων SEO για να παραπλανήσουν τις ταξινομήσεις στις μηχανές αναζήτησης, καθοδηγώντας τους χρήστες σε κακόβουλους ιστότοπους.
Στόχος των χάκερς είναι να εκμεταλλευτούν ευπάθειες, να εισάγουν κακόβουλους κώδικες ή συνδέσμους σε νόμιμους ιστότοπους και να δώσουν έμφαση στο κακόβουλο περιεχόμενό τους.
Διαβάστε ακόμη: Χρησιμοποιείτε Google Chrome; Προσοχή! Malware κλέβει προσωπικά δεδομένα!
Ερευνητές στον κυβερνοχώρο των υπηρεσιών ανάκτησης ψηφιακών αποδεικτικών στοιχείων (DFIR) ανακάλυψαν πρόσφατα ότι το κακόβουλο λογισμικό με την ονομασία Gootloader, που χρησιμοποιεί πρόσβαση RDP, επηρεάζει αρνητικά τα αποτελέσματα SEO.
Hackers δηλητηριάζουν αποτελέσματα SEO
Τον Φεβρουάριο του 2023, κάποιος αναζητούσε μια “Σύμβαση Εργασίας” λόγω μιας poisoning απόδοσης SEO που είχε δημιουργήσει το Gootloader.
Σε ένα ψεύτικο φόρουμ για λήψη, ο χρήστης έπεσε σε παγίδα κάνοντας κλικ σε έναν σύνδεσμο. Αμέσως μετά το άνοιγμά του, εμφανίστηκε ένα κακόβουλο πρόγραμμα με την ονομασία Gootloader.
Η επόμενη ενέργεια περιλάμβανε την εκτέλεση σεναρίων PowerShell και τη σύνδεση με απομακρυσμένους υπολογιστές.
Αν και το Windows Defender απέκλεισε την πλευρική κίνηση σε μελλοντικές προσπάθειες, οι χάκερς συνέχισε την αποστολή του, αγνοώντας τις παγίδες και χρησιμοποιώντας το SystemBC για να απειλήσει έναν τομέα ελέγχου.
Έπειτα, με τη χρήση της μεθόδου RDP, απέκτησαν πρόσβαση σε αντίγραφα ασφαλείας και ευαίσθητες πληροφορίες μέχρι να γίνει προσπάθεια να τα αφαιρέσουν.
Ο χρήστης επισκέφτηκε έναν ιστότοπο που είχε μολυνθεί από SEO, και βρέθηκε σε έναν ύποπτο σύνδεσμο φόρουμ που αναφερόταν στη λήψη της «Συμφωνίας Εργασίας».
Το έγγραφο που εμφανιζόταν ως αβλαβές, στην πραγματικότητα, ένας φορτωτής GootLoader μέσα σε ένα αρχείο zip. Εκτέλεσε μια αλυσίδα JavaScript που δημιουργούσε προγραμματισμένες εργασίες και εκτελούσε ασαφή σενάρια.
Δείτε επίσης: Το Lucifer DDoS malware επιτίθεται σε διακομιστές Apache
Ενώ το σενάριο PowerShell διευκόλυνε τη μόλυνση μέσω:
Svchost.exe
Wscript.exe
Cscript.exe
Powershell.exe
Μερικοί διακομιστές επέστρεψαν με τον κωδικό απόκρισης HTTP 405. Ένας εξ αυτών, ωστόσο, ήταν ένας οπλισμένος διακομιστής, γνωστός ως 46.28.105[.]94, ο οποίος ενεργοποίησε το Gootloader μέσω μιας διεύθυνσης URL.
Η τελική μορφή περιλάμβανε διαφορετικές εκδόσεις του Gootloader πρώτου σταδίου (σκοτεινό dll), δεύτερου σταδίου (αρχείο exe) και ένα σενάριο γραμμένο σε και τα δύο στο αρχείο καταγραφής.
Το Στάδιο 1 διέκοψε το Στάδιο 2, το οποίο φόρτωσε το Cobalt Strike Beacon. Προφανώς, η εντολή “getsystem” του Cobalt Strike χρησιμοποιήθηκε για να εκτελεστεί η cmd από το DLLHOST με σκοπό την ανάδειξή του.
Οι συνδέσεις άρχισαν με τη χρήση της συλλογής διαπιστευτήριων μέσω των τύπων σύνδεσης “Logon type 9” και “seclogo”. Η λειτουργία περιορισμένης πρόσβασης του διαχειριστή ενεργοποιήθηκε για να επιτευχθεί η διάσπαση της σύνδεσης.
Με τις τροποποιήσεις στο μητρώο, μπορεί να επιτραπεί η χρήση συνδέσεων RDP.
Πέρα από αυτό, η διανομή των Beacons Cobalt Strike για την ανάπτυξη απομακρυσμένων υπηρεσιών γίνεται μέσω ποικίλων χρήσιμων φορτίων.
Διαβάστε περισσότερα: Εντοπίστηκαν 21 νέες οικογένειες malware που στοχεύουν χρήστες Mac
Το WordPad χρησιμοποιήθηκε για την πρόσβαση σε ευαίσθητα αρχεία που δεν σχετίζονται με τα δεδομένα πρόσβασης που περιέχονται στα διαπιστευτήρια. Επιπλέον, συμβόλαια και άλλα νομικά έγγραφα και φακέλοι αποτελούσαν μέρος των αρχείων που εξετάζονταν.
Η προστασία από κακόβουλο λογισμικό Perimeter81 μπορεί να αποτρέψει την εισβολή κακόβουλων προγραμμάτων, όπως Trojans, ransomware, spyware, rootkits, worms και zero-day exploits. Αυτά τα επικίνδυνα προγράμματα μπορούν να προκαλέσουν σοβαρές ζημιές και να απειλήσουν το δίκτυό σας.
Πηγή: cybersecuritynews.com