GootLoader koristi zlonamjerne SEO tehnike

AUTOR ·

GootLoader zlonamjerni softver koristi zlonamjernu tehniku optimizaciju pretraživača (eng. search engine optimization – SEO) za napade na žrtve, pokazuje istraživanje Sophos X-Ops, tima kompanije Sophos. On se fokusira na manipulaciju rezultatima Google pretrage kako bi usmjerio potencijalne žrtve na kompromitovane WordPress internet stranice koji izgledaju kao legitimne, ali su zapravo izmišljene da namame korisnike da preuzmu zlonamjerne JavaScript korisne tovare (eng. payloads).

GootLoader

GootLoader koristi zlonamjerne SEO tehnike; Source: Bing Image Creator

GOOTLOADER

GootLoader je prikriveni zlonamjerni softver klasifikovan kao program za preuzimanje prve faze dizajniran za napad na sisteme zasnovane na Windows operativnim sistemima. Smatra se alatom za početni pristup kao usluga (eng. Initial-Access-as-a-Service – IAaaS) koji se koristi u okviru kriminalnog poslovnog modela ucjenjivački softver kao usluga (eng. Ransomware-as-a-Service – RaaS).

GootLoader je u upotrebi tek od kraja 2020. godine, ali je tokom svog kratkog vijeka evoluirao od običnog programa za preuzimanje Gootkit u platformu za zlonamjerni softver sa više korisnih podataka koja je sposobna da isporuči sofisticirane druge faze korisnog opterećenja kao što su Cobalt Strike i REvil ucjenjivački softver. Naročito se primjenjuje za zlonamjerne tehnike optimizaciju pretraživača (SEO) kako bi se žrtve usmjerile ka kampanjama preuzimanja koje isporučuju njegovu prvu fazu.

 

Uloga zlonamjernih SEO tehnika

Neophodno je razumjeti da GootLoader upotreba zlonamjernih tehnika optimizacije pretraživača (SEO) nije samo pomoćni aspekt njegove strategije napada, već ključna komponenta koja značajno poboljšava efikasnost zlonamjernog softvera. Strateškim prilagođavanjem svake zlonamjerne JavaScript datoteke tako da direktno odgovara terminima za pretragu koji dovode žrtve do kompromitovanih internet lokacije, zlonamjerni akteri mogu da obezbijede veću vjerovatnoću uspješne isporuke zlonamjernog softvera.

Ovaj pristup omogućava GootLoader zlonamjernim akterima da iskoriste ranjivosti u Google algoritmima za rangiranje i manipulišu rezultatima pretrage kako bi usmjerili korisnike ka kompromitovanim internet lokacijama. Predstavljanjem izmišljenih razgovora na ovim internet lokacijama koji su osmišljeni da namame žrtve da preuzmu zlonamjerne datoteke, zlonamjerni akteri mogu da iskoriste prednosti nad nesvjesnim korisnicima koji traže koristan sadržaj u vezi sa svojim upitima za pretragu.

Zlonamjerne tehnike optimizaciju pretraživača (SEO) koje koristi GootLoader su sofisticirane i višeslojne. Prvo, zlonamjerni akteri pažljivo istražuju popularne termine za pretragu relevantne za željeni skup žrtava. Zatim prave svaku zlonamjernu JavaScript datoteku sa ovim ključnim riječima strateški ugrađenim u kôd. Ovo osigurava da kada korisnik traži informacije u vezi sa svojim upitom, da je veća vjerovatnoća da će naići na kompromitovanu internet lokaciju.

Drugo, zlonamjerni akteri manipulišu Google algoritmima za rangiranje tako što optimizuju ugrožene internet lokacije sa istim tim ključnim riječima. Oni to postižu kroz različite primjene tehnike optimizaciju pretraživača (SEO) kao što su prenatrpavanje ključnih riječi, skriveni tekst i fabrikovanje veza. Ovaj proces optimizacije pomaže da se ugrožene internet lokacije gurnu na vrh rezultata pretrage, čineći ih vidljivijim potencijalnim žrtvama.

Treće, kada žrtva posjeti kompromitovanu lokaciju, ona se prikazuje sa simuliranom oglasnom pločom na mreži koja na prvi pogled izgleda legitimna. Zlonamjerni akteri su pažljivo osmislili ovu obmanu kreirajući izmišljene razgovore između fiktivnih korisnika koji izgledaju kao da raspravljaju o temama koje se odnose na upit za pretragu korisnika. Ovo stvara iluziju autentičnosti i vjerodostojnosti, zbog čega je veća vjerovatnoća da će žrtve preuzeti zlonamjerne datoteke prerušene kao korisni resurs.

Na kraju, važno je napomenuti da se cio ovaj proces u velikoj mjeri oslanja na kompromitovani WordPress server i povezani server za komandu i kontrolu (C2), koji se kolokvijalno naziva “matični brod”. Zlonamjerni akteri mogu dinamički da generišu internet stranice koje se čine veoma relevantnim za korisnike na osnovu njihovih upita za pretragu. Ovo podešavanje omogućava GootLoader zlonamjernim akterima da zadrže kontrolu nad procesom infekcije dok smanjuju rizik od otkrivanja.

 

Funkcionisanje

U pomno izrađenoj šemi, porodica zlonamjernog softvera GootLoader koristi zamršenu kombinaciju kompromitovanih WordPress servera i servera za komandu i kontrolu (C2), kolokvijalno poznatih kao “matični brodovi”, da bi izvršili svoje zlonamjerne napade. Ova dvokomponentna infrastruktura je ključna za omogućavanje zlonamjernim akterima iza ovog zlonamjernog softvera da dinamički generišu internet stranice koje izgledaju veoma relevantne za korisnike, čime se povećava vjerovatnoća uspješne isporuke zlonamjernog softvera.

Proces počinje kompromitovanjem legitimnih WordPress internet lokacija od strane zlonamjernih aktera koji su dobili neovlašten pristup administrativnim oblastima ovih lokacija. Jednom kompromitovani, ovi serveri se koriste kao polazna platforma za GootLoader napade. Zlonamjerni akteri zatim manipulišu rezultatima Google pretrage kako bi preusmjerili nesvjesne korisnike na obmanjujuću oglasnu tablu na mreži koja je napravljena na jednoj od ovih kompromitovanih WordPress internet lokacija.

Prevara koju koriste zlonamjerni akteri je dvostruka: prvo, oni kreiraju simuliranu oglasnu tablu na mreži na kojoj se posjetiocima predstavljaju izmišljeni razgovori između fiktivnih korisnika. Čini se da su ovi razgovori istinske diskusije u vezi sa temama relevantnim za upite za pretragu korisnika i dizajnirani su da ih namame da preuzmu zlonamjerne JavaScript korisne sadržaje prerušene u korisne resurse ili rješenja za njihova pitanja.

Drugi sloj obmane leži u činjenici da se čini da ovi izmišljeni razgovori na oglasnoj tabli odgovaraju na tačna pitanja koja unose korisnici kada vrše pretrage koristeći popularne pretraživače poput Google. Ova taktika je osmišljena da dodatno poveća vjerovatnoću uspješne isporuke zlonamjernog softvera, jer kapitalizuje na povjerenju korisnika i uvjerenju da su pronašli legitimno rješenje ili resurs za svoj upit.

Proces infekcije se u velikoj mjeri oslanja na ovaj kompromitovani WordPress server i njegov pridruženi C2 server (“matični brod”). Dinamičkim generisanjem internet stranica koje izgledaju veoma relevantne za korisnike na osnovu njihovih upita za pretragu, zlonamjerni akteri mogu da obezbijede veću vjerovatnoću uspješne isporuke zlonamjernog softvera. Ovo podešavanje im omogućava da iskoriste povjerenje koje korisnici interneta širom sveta ulažu u rezultate Google pretrage.

Da bi postigli ovu dinamičku generaciju internet stranica, zlonamjerni akteri modifikuju kompromitovanu WordPress lokaciju iza scene, ugrađujući kôd koji učitava sadržaj sa “matičnog broda”. Korištene tehnike zamagljivanja su toliko opsežne i sofisticirane da se čak i sami vlasnici internet stranica mogu mučiti da otkriju izmjene ili nenamjerno pokrenu GootLoader skripte. Ovo stvara izazov za sigurnosne istraživače i profesionalce u sajber bezbjednost da se efikasno bore protiv ove prijetnje.

Operativni okvir zlonamjernog softvera karakteriše složena kôdna baza koja je zamagljena da bi se spriječila laka analiza sigurnosnih istraživača. Primarna metoda infekcije uključuje ubrizgavanje specifičnih JavaScript datoteka u kompromitovanu WordPress lokaciju, koje su usklađene sa upitima za pretragu žrtava. Ova taktika je pokazala male varijacije u proteklim godinama i ostaje konzistentna karakteristika GootLoader strategije napada.

 

Uticaj

Jedna od najzabrinjavajućih implikacija GootLoader napada je njihov potencijal za široko rasprostranjenu štetu. Kako zlonamjerni softver nastavlja da se razvija, postaje ga sve teže otkriti i ukloniti, što potencijalno može dovesti do infekcija velikih razmjera koje mogu da ugroze kritičnu infrastrukturu, finansijske sisteme i lične podatke. To bi moglo rezultirati ekonomskim gubicima, ugrožavanjem privatnosti, pa čak i prijetnjama nacionalnoj bezbjednosti ako državno sponzorisani zlonamjerni akteri iskoriste ove ranjivosti.

Pored toga, tu je i erozija povjerenja u digitalne platforme. Kako korisnici postaju sve svjesniji rizika sajber bezbjednosti, manje je vjerovatno da će se baviti internet sadržajem ili uslugama, što dovodi do pada digitalnog angažmana i ekonomske aktivnosti. Ovo bi moglo imati dalekosežne posljedice za industrije koje se u velikoj mjeri oslanjaju na digitalne interakcije, kao što su internet trgovina, društveni mediji i finansijske usluge.

 

ZAKLJUČAK

GootLoader zlonamjerni softver predstavlja značajnu prijetnju zbog svoje jedinstvene strategije društvenog inženjeringa i tehnike optimizaciju pretraživača (SEO). Kako GootLoader zlonamjerni softver nastavlja da se razvija, moraju se razvijati i strategije koje koriste profesionalci za sajber bezbjednost da bi se efikasno borili protiv njega. U tekstu iznad je bilo riječi o različitim aspektima procesa infekcije, zlonamjernim tehnikama optimizacije pretraživača (SEO) i funkcionisanju zlonamjernog softvera. Razumijevanjem ovih komponenti, sigurnosni istraživači mogu razviti efikasnije mjere za otkrivanje i prevenciju protiv GootLoader zlonamjernog softvera.

Gledajući unaprijed, može se očekivati da će GootLoader zlonamjerni akteri dalje usavršiti svoje tehnike, što će stručnjacima za sajber bezbjednost učiniti još izazovnijim da otkriju i neutrališu njihove napade. Zbog toga je od ključnog značaja imati proaktivan pristupu sajber bezbjednosti, kontinuirano ažurirajući znanje i strategije kako bi se ostalo korak ispred ovih prijetnji koje se stalno razvijaju.

 

ZAŠTITA

Za zaštiti od GootLoader zlonamjernog softvera, korisnici i organizacije mogu slijediti nekoliko praktičnih koraka:

  1. Znanje je moć u digitalnom svetu. Upoznavanje sa uobičajenim taktikama društvenog inženjeringa i načinom na koji zlonamjerni akteri manipulišu rezultatima pretrage koristeći tehnike optimizaciju pretraživača (SEO) je dobar način za efikasniju identifikaciju potencijalne prijetnje;
  2. Potrebno je koristiti dobro poznate, renomirane internet lokacija prilikom obavljanja internet pretrage. Obratiti pažnju na klikanje na veze iz nepoznatih izvora ili internet lokacija koji izgledaju sumnjivo na bilo koji način;
  3. Sveobuhvatni bezbjednosni paket može pomoći u zaštiti uređaja skeniranjem preuzetih datoteka u potrazi za zlonamjernim softverom i pružanjem zaštite od prijetnji u realnom vremenu. Redovno ažurirati ovaj softver da bi se osiguralo da uređaj ima najnoviju dostupnu zaštitu;
  4. Većina internet pretraživača nudi opciju bezbjedne pretrage koja filtrira eksplicitan sadržaj, potencijalno štetne internet lokacije i neprikladne slike. Omogućavanjem ove funkcije moguća je zaštita od obmanjujućih internet lokacija poput onih koje koriste GootLoader zlonamjerni akteri;
  5. Redovno ažurirajte WordPress dodatke, teme i osnovni softver kako bi se ispravile sve poznate ranjivosti koje bi zlonamjerni akteri mogli da iskoriste. Manja je vjerovatnoća da će bezbjedna platforma postati žrtva napada zlonamjernog softvera;
  6. Kreirati složene lozinke koristeći kombinaciju slova, brojeva i simbola. Izbjegavati korišćenje iste lozinke za više naloga, jer to povećava rizik ako je jedan nalog kompromitovan budu i drugi. Razmislite o korišćenju menadžera lozinki da bi se lakše pratile i čuvale različite lozinke;
  7. Primjenjivati oprez prilikom preuzimanja datoteka sa interneta, posebno onih koje nisu jasno označene ili potiču iz nepoznatih izvora. Preuzimati datoteke samo sa pouzdanih internet lokacija i skenirati ih pomoću bezbjednosnog paketa pre njihovog otvaranja;
  8. Redovne rezervne kopije osiguravaju oporavak uređaja u slučaju napada zlonamjernog softvera ili drugog kvara sistema. Čuvati rezervne kopije na eksternom čvrstom disku, usluzi skladištenja u oblaku ili oboje radi dodatne zaštite;
  9. Autentifikacija u dva koraka (eng. two-factor authentication – 2FA) dodaje još jedan sloj sigurnosti korisničkim nalozima tako što zahteva da se navede ne samo lozinku već i jedinstveni kôd koji se šalje putem tekstualne poruke, elektronske pošte ili aplikacije za autentifikaciju prilikom prijave sa novog uređaja. Ovo otežava zlonamjernim akterima pristup osjetljivim informacijama.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.