SEO zehirlenmesi, tehdit aktörlerinin trend anahtar kelimeleri kullanarak zararlı web sitelerini tanıtmak için arama motoru sonuçlarını manipüle ettiği kötü niyetli bir taktiktir.
Bu yaklaşım yalnızca kişisel bilgileri riske atmakla kalmaz, aynı zamanda meşru işletmelerin itibarına da zarar verebilir.
Sophos’taki siber güvenlik araştırmacıları yakın zamanda Gootloader kötü amaçlı yazılımının Google arama sonuçlarını zehirleyerek Bengal kedisi severleri aktif olarak hedef aldığını keşfetti.
GootLoader, REVil fidye yazılımı ve Gootkit bankacılık truva atı üzerindeki tehdit aktörleri tarafından kullanılan ve ilk erişimin bir hizmet olarak sağlandığı çok aşamalı bir kuruluma genişleyen gelişmiş bir kötü amaçlı yazılım platformudur.
Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)
Temel olarak, tehdit aktörlerinin hedefi güvenliği ihlal edilmiş web sitesine yönlendirmek için Google aramalarını kullandığı SEO zehirlenmesi yoluyla çalışır.
.webp)
Kullanıcılar bu meşru görünen bağlantılara tıkladığında, üç aşamalı kötü amaçlı yazılım saldırısı dizisi başlatılır: –
- İlk olarak, karmaşık JavaScript içeren kötü amaçlı bir .zip dosyasını indirir.
- Bir sonraki hedef, Windows Görev Zamanlayıcı ve WScript.exe yürütme yoluyla kalıcılık yaratan ikinci aşama yükünü dağıtmaktır.
- Son olarak, “GootKit” adı verilen gelişmiş bir bilgi hırsızı ve RAT sunar.
RAT, “PowerShell” komutlarını kullanarak kurbanın ağında kalıcılığı korur ve Cobalt Strike veya fidye yazılımını dağıtabilir.
Kötü amaçlı yazılımın yazarları, gelişmiş dosya adı gizleme metodolojisini (rastgele sayısal diziler kullanarak), meşru görünen lisanslama yorumlarıyla maskelenmiş oldukça karmaşık JavaScript kodunu ve ayrıca AppData\Roaming’e yönlendirdiği sistem yollarından kaçınmayı uyguladı.
En yenisi (3.0) aynı zamanda “Huthwaite SPIN sell.dat” ve “Small Units Tactics.js” isimli dosyaları oluşturarak, “Business Aviation” ve “Destination Branding” başlıklarıyla görev çizelgeleri oluşturarak sektörde kalıcılığını artırmada etkili oluyor. virüs bulaşmış makine, raporu okur.
Kötü amaçlı JavaScript dosyası “Are_bengal_cats_legal_in_australia_72495.js”, “WScript.exe”nin başlangıçta “” konumunda bir dosya oluşturduğu karmaşık bir yürütme zinciri sergiliyordu.C:\Kullanıcılar
Bunun yanı sıra, Windows Sysinternals Process Monitor’ün disk yazma veya silme olaylarını izlediğine dair bir işaret yoktur.
Process Hacker kaydedildiğinde yürütme akışı devam etti CScript.exe Ve PowerShell.exe işlemler, conhost.exe örneklerinin ortaya çıkması.
Kötü amaçlı yazılım, kalıcılığın sağlanmasına yardımcı olan Smallu1.js wscript SMALLU1.js komutunu çalıştıran CScript.exe’yi başlatmak için zamanlanmış “Hedef Markalama” görevi gibi düzensizlikler kullandı.
Burada PowerShell.exe, ağ analizörleri (Wireshark ve FakeNet) tarafından ortaya çıkarılır ve bu, “/xmlrpc.php” uç noktalarına sahip birden fazla alana “HTTP GET” istekleri yapar.
Sadece bu da değil, aynı zamanda sistem keşif verilerini içeren “Base64 kodlu” çerezleri (“C:\Users” gibi dizin yolları) da iletir.
Kötü amaçlı yazılım, AppData\Roaming dizini altında önceden oluşturulmuş klasörlerden herhangi birine ikincil JavaScript verilerini bırakabildiği için esneklik sergiledi.
Ağ göstergeleri, araştırmacılar tarafından kötü amaçlı yazılım/ev çağrısı imzaları olarak sınıflandırılmış ve ilk Javascript’i JS/Drop-DIJ, ikinci yükü ise JS/Gootkit-AW varyantları olarak kategorize etmiş, bu da analiz edilen dosyaların kötü amaçlı karakterini göstermektedir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!