Tudatlan fejlesztők, akik szkript-segítséget keresnek fórumokon, áldozatul eshetnek a Gootkit trójai és zsarolóvírus-támadásoknak.

A marketingtechnológiában manapság természetes, hogy a HTML-hez szkripteket adnak hozzá, amelyek még több szkriptet injektálnak. A Google Tag Manager egy nagyszerű példa erre. De túl gyakran a marketingesek és a webhelyek kezelői nem veszik észre, hogy a szkriptek pusztítást végezhetnek az oldal teljesítményében, cserébe a hirdetések és a nyomon követés hozzáadásáért. Amikor a (rossz) hackerek a tudtunk nélkül scriptet injektálnak a HTML-be, akkor most kihasználhatják a keresőmotoros rangsorolási potenciálunkat bűnös vállalkozásra.

Ez részben az Evergreen Googlebot és a JavaScript miatt válik lehetővé. A támadók felkutatják, majd célba veszik a magasan rangsorolt weboldalak sebezhetőségeit, hogy kompromittálják azokat, és a Gootkit nevű NodeJS malware keretrendszerrel (a szójáték a „rootkit” szóval) mesterséges oldalakat működtessenek egyébként teljesen hiteles domain nevek alatt.

A Gootkit keretrendszer SEO sablonja

A következőképpen működik: A generált kód észleli a Googlebotot, a hétköznapi felhasználókat és különösen a Google kereső felhasználóit. A hackerek a potenciális áldozatok Google-keresési lekérdezéseinek előrehaladott ismeretében létrehoznak egy fórumbejegyzés-téma sablont egy rosszindulatú szoftver letöltési linkjével, amelyet úgy terveztek, hogy a Google SERP-ekben tökéletes forrásválaszként jelenjen meg ezekre a keresésekre.

Például egy Windows hálózaton dolgozó alkalmazott a Google-t használja arra, hogy forrást találjon egy legálisnak tűnő zip-archívum letöltéséhez. Ez a felhasználó nem tudja, hogy a letöltés titkosított JavaScriptet tartalmaz egy többlépcsős dekódolási rutinnal, amely a felismerés sikeres megkerülése után újra összerakja és futtatja a szkripteket. Ha a letöltés megnyílik, telepíti a Gootkit trójai vírust, és kommunikál a támadó gépével, amely a keretrendszer szerveroldali részét tárolja. A fertőzött kereső felhasználó rendszere ettől kezdve felkészül a trójai futtatására az újraindításkor.

Fileless támadás?

Az indítás után a fertőzött számítógépen minden a rendszermemória felhasználásával működik, a fájlrendszer további használata nélkül. Az ilyen típusú támadás újszerűsége, a JavaScript erejének kifinomult, „fájl nélküli” felhasználása a felderítés megkerülésének stratégiájaként, az oka annak, hogy a Sophos rosszindulatú programokat elemző cég elég méltónak tartotta arra, hogy megkülönböztesse a szokásosabb trójai betöltési eljárásoktól, nevén: Gootloader.

És mintha ez nem lenne elég aljas, történelmileg a Gootkitet elsősorban a Kronos nevű banki kártevő e-mailben történő terjesztésére használták. Most, a keretrendszer legújabb „javításával” a Gootkit felfegyverkezve a bűnözőket, hogy képesek legyenek a Google-t használni a terjesztéshez, és hozzáférjenek egy olyan hasznos teherarchitektúrához, amely kibővült a zsarolóprogramok zsarolási sémáinak kezelésével (és esetleg kezelésével).

A Ransomeware rendkívül hatékony, ha a titkok kiszivárgásával párosulva zsarolási nyomást gyakorolnak a vállalatokra és intézményekre, hogy fizessenek. Ez ellen a támadás ellen nagyon nehéz védekezni, illetve a rosszindulatú szoftverek jelenlétét nagyon nehéz felismerni. Még a tapasztalt informatikai szakembereket is könnyen megtévesztheti. A Google-keresést használó közönséges felhasználónak aligha van esélye.

A saját dekódoló kulcsok és változónevek elhomályosításának részeként a rendszernyilvántartás kulcs/érték párosait adja hozzá, ami a leleplezéshez vezethet. Még nyilvánvalóbb, hogy a hamis szál témája egy kompromittált webhely elleni sikeres támadásban valószínűleg eltér a webhely többi tartalmától. Ennek a szálnak a felderítése tartalomelemzéssel és különösen a HTML sablonok rosszindulatú kimenetéből származó árulkodó jelek révén lehet az, ahogyan a Google felfedezheti a veszélyeztetett webhelyeket és figyelmeztetheti a webhelytulajdonosokat.

Mi a helyzet más keresőmotorokkal?

Egyelőre nem úgy tűnik, hogy a Gootkit malware keretrendszer bűnöző felhasználói más keresőmotorokat is célba vettek volna a SERP-k megmérgezésére. Elméletileg semmi sem akadályozza meg őket abban, hogy pontosan ezt tegyék. A Gootkit keretrendszer szerzője(i) hibáztatható(k), ha csak a Googlebot felhasználói ágensének szűrésével törődtek.

Miért érdekel minket

Valóban láttam már ilyen típusú támadást SEO-ügyfeleknél, és ezek csak rosszabbak és gyakoribbak lesznek. A Gootkit 2014-re nyúlik vissza, és az SMX Workshopon röviden megvitattunk egy akkori esetet: SEO fejlesztőknek. A biztonsági témákban mélyebben elmélyülő jövőbeli workshopok további részleteket tárhatnak fel, tekintettel az adott incidenstől való időbeli távolságra, és mivel az információbiztonság a mi hatáskörünkbe tartozik. Az eset figyelmeztetésként és tanulságként is szolgál a fejlesztők számára.

Forrás: searchengineland.com/how-gootkit-trojan-distributes-ransomware-via-google-serps-346550