搜索毒化?勒索團伙開始收割中小企業用戶
勒索團伙通常只會針對大中型企業進行數百萬美元的勒索攻擊,因為普通個體并不愿意支付大額贖金。但是近年來勒索軟件有下沉和“內卷”的趨勢,開始收割中小企業甚至個人用戶,投放手法也隨之改變。
近日,研究人員發現了兩個可能與REvil勒索軟件團伙或SolarMarker后門相關的攻擊活動中使用了SEO投毒方法向目標提供有效載荷。調查顯示,一個REvil加盟團伙曾進行了大規模攻擊以感染普通消費者和小型企業,與動輒數百萬美元的贖金金額不同,該團伙索要的贖金金額僅為1500~7500美元,雖然不確定該團伙是否利用了SEO投毒攻擊,但這種類型的攻擊符合他們不具備針對性地對任何類型受害者進行攻擊的特征。
SEO投毒,也稱為“搜索毒化”,是一種通過“黑帽”SEO技術來優化網站,以達到在搜索引擎結果中排名更高目的的攻擊方法。
由于搜索排名靠前,登陸這些網站的受害者往往認為它們是合法的,而攻擊者們則乘機收割搜索特定關鍵字的大量訪問者。
勒索軟件的SEO
根據Menlo安全團隊的調查結果,惡意軟件分發者的SEO投毒攻擊呈上升趨勢,其中Gootloader和SolarMarket這兩個惡意軟件格外需要注意。
攻擊者通過上述的惡意軟件在搜索網站上注入了涵蓋2000多個獨特搜索詞的關鍵字,如“運動精神”、“工業衛生檢測”、“職業發展評估測試”等。受害者在搜索相應關鍵詞后,搜索結果會顯示出一些PDF文件,訪問時會提示用戶下載文檔,如下所示:
點擊下載按鈕后,受害者就會被重定向到一系列最終投放惡意負載的網站。攻擊者通過這些重定向的方式,來避免站點因托管惡意內容而被從搜索結果中刪除。
利用WordPress插件漏洞
在研究人員發現的另外兩個活動中,攻擊者并沒有創建自己的惡意網站,而是入侵了在谷歌搜索排名中靠前的合法WordPress網站。
攻擊者利用這些合法網站“Formidable Forms”WordPress插件中的一個未公開漏洞實施攻擊,有些攻擊者還曾將惡意PDF上傳到“/wp-content/uploads/formidable/”的文件夾中。據了解,5.0.07版本是該插件集中發現的受感染的最新版本,如果有用戶正在使用此特定插件,建議盡快升級到5.0.10或更高版本。
下表顯示了在上述中受感染的網站類型中所涉及的垂直行業:
從上圖中可以看出,攻擊者主要針對商業、NGO、醫療、電商、教育等行業的站點,原因可能是它們通常以指南和報告的形式托管PDF。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
