Les hackers étendent l’utilisation de techniques de référencement malveillant pour distribuer des logiciels malveillants
Sommaire
Les opérateurs de REvil et Gootkit ont commencé à utiliser une technique éprouvée pour distribuer d’autres logiciels malveillants, dit Sophos.
Une méthode innovante que les opérateurs de la souche de logiciels de rançon REvil et du cheval de Troie bancaire Gootkit utilisent depuis des années pour distribuer leurs logiciels malveillants est maintenant utilisée pour distribuer d’autres logiciels malveillants, notamment le cheval de Troie Kronos et le kit d’attaque Cobalt Strike.
Les chercheurs de Sophos qui ont suivi la menace ont baptisé le mécanisme de diffusion Gootloader. Dans un nouveau rapport, ils ont décrit la méthode comme méritant un examen minutieux pour la manière dont elle exploite les techniques d’optimisation des moteurs de recherche (SEO) dans le cadre du processus de déploiement des logiciels malveillants.
La méthode consiste essentiellement à ce que les attaquants maintiennent un réseau assez important de serveurs hébergeant des sites web légitimes mais précédemment compromis. Dans chaque cas, les attaquants exploitent les vulnérabilités du système de gestion de contenu du site web pour injecter un ensemble de mots et de phrases pour la plupart inintelligibles – ce qu’on appelle communément une « salade de mots ».
L’objectif est de faire croire aux moteurs de recherche qu’un site web compromis concerne ces mots, alors qu’en réalité il pourrait s’agir d’autre chose, explique Chester Wisniewski, chercheur principal chez Sophos. Par exemple, un site web compromis dont Sophos a observé l’utilisation dans la campagne Gootkit appartenait à une clinique néonatale au Canada. En raison de la collection aléatoire de mots et de phrases qui y avaient été insérés, le site est apparu en tête des résultats de recherche Google en réponse à une requête concernant un type très étroit d’accord immobilier.
« Vous cherchez peut-être à « connecter une brosse à dents Bluetooth à un téléphone Motorola Android » », explique M. Wisniewski à titre d’exemple. Il se trouve que les criminels avaient compromis un site WordPress peu sûr la semaine dernière et parmi la salade de mots qu’ils ont injectée, il y avait des mots comme « Motorola », « Android » et « brosse à dents » », dit-il. Google se fait avoir en pensant que le site est un expert en la matière et place la page en tête des résultats de recherche.
Parce que le résultat semble correspondre exactement à la requête originale, l’utilisateur se laisse tromper en cliquant sur le lien et finit par être dirigé vers ce qui semble être une page de forum sur le site web compromis, où les gens semblent discuter du même sujet. Sur la page web se trouve un lien de téléchargement, apparemment affiché par l’administrateur du forum, vers un document censé contenir la réponse à la requête de recherche de l’utilisateur.
Le lien contient également les termes de recherche exacts et dans le même ordre que celui utilisé dans la requête de recherche originale. Les utilisateurs qui cliquent sur le lien finissent par télécharger un fichier ZIP – toujours avec les mêmes termes de recherche – contenant un JavaScript malveillant déguisé en document. Vous ouvrez le « document » et lancez le JavaScript, qui infecte votre PC », explique M. Wisniewski.
Lectures supplémentaires
- Agence de communication
- Le Blog
- Nos prestations
- Nos Valeurs
- Comprendre le spam sur internet et comment l’éviter
Construire des charges utiles à la volée
Selon le rapport, le fichier JavaScript est la seule étape de la chaîne d’attaque où un fichier malveillant est écrit dans le système de fichiers. Toutes les autres activités malveillantes qui sont lancées après l’exécution du script se produisent en mémoire et hors de vue de la plupart des outils de protection des points d’accès, note le fournisseur.
L’analyse de Gootloader par le fournisseur de sécurité montre que le mécanisme est conçu pour servir la fausse page de forum uniquement aux utilisateurs qui arrivent sur un site web compromis en suivant un résultat de recherche Google. Le processus Gootloader détermine également si l’ordinateur du visiteur du site utilise un système d’exploitation avec les préférences spécifiques de langue et de géolocalisation que les attaquants visent. Si l’une de ces conditions n’est pas remplie, la fausse page de forum n’est pas servie à la personne qui se retrouve sur le site web compromis.
Les adversaires ont développé une méthode qui permet au site à partir duquel le fichier malveillant est téléchargé de construire des charges utiles « à la volée » avec un nom de fichier qui correspond à la requête de recherche originale, explique Sophos. La société a découvert que les utilisateurs recherchaient des éléments aussi aléatoires que « l’accord WPA de Cisco » et « le modèle d’accord de prime de fidélisation des employés » lorsqu’on leur présentait des liens vers un site web compromis prétendant avoir une réponse à leur requête spécifique.
Selon Sophos, la méthode d’infection semble cibler uniquement les utilisateurs effectuant des recherches sur Google. Elle semble également fonctionner surtout pour les types de recherche où il n’y a pas de page d’experts clairement crédible à laquelle envoyer les utilisateurs, ajoute Wisniewski. Il est très difficile de tromper Google sur « Donald Trump » ou « Watergate » », note-t-il. Ainsi, de nombreuses recherches où les utilisateurs se retrouvent sur un site compromis portent sur des combinaisons bizarres de choses génériques. « C’est pourquoi l’approche par la salade de mots fonctionne si bien », dit-il.