Gootloader использует SEO poisoning для распространения вредоносного ПО

Для загрузчика Gootloader, ранее использовавшегося для распространения вредоносного ПО Gootkit, наступила эпоха Возрождения, сообщили эксперты.

По словам специалистов компании Sophos Labs Габора Саппаноша (Gabor Szappanos) и Эндрю Брэндта (Andrew Brandt), Gootloader – это чрезвычайно сложный фреймворк для доставки на атакуемые системы вредоносного ПО. В настоящее время помимо Gootkit (и в некоторых случаях вымогателя REvil) он доставляет и другие вредоносные программы, в том числе троян Kronos и Cobalt Strike.

Gootloader известен своим многоступенчатым процессом атаки, техниками обфускации, а также использованием метода доставки вредоносного ПО, известным как «заражение SEO» (SEO poisoning). Данный метод предполагает использование на подконтрольных злоумышленникам сайтах слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря ему вредоносные сайты с ссылками, запускающими цепочку атак Gootloader, может увидеть больше потенциальных жертв.

«Метод доставки вредоносного ПО, впервые предложенный злоумышленниками, стоящими за вымогателем REvil и банковским трояном Gootkit, в последнее время переживает возрождение, поскольку телеметрия показывает, что преступники используют его для развертывания массива вредоносных программ в Южной Корее, Германии, Франции, и по всей Северной Америке», - сообщили исследователи.

Для осуществления атаки «заражение SEO» злоумышленники сначала взломали большое количество легитимных сайтов и создали сеть примерно из 400 серверов. При этом владельцы сайтов и понятия не имеют о том, что их ресурсы используются таким образом. Каким образом хакеры взламывают сайты, неизвестно. Однако, как правило, для этого используется целый ряд техник, в том числе получают пароли администраторов с помощью вредоносного ПО Gootkit, покупают учетные данные на черном рынке или эксплуатируют уязвимости в темах и плагинах для систем управления контентом (CMS).

После взлома хакеры настраивают CMS таким образом, чтобы использовались нужные им тактики SEO. Целью киберпреступников является поднять скомпрометированный ресурс наверх в поисковой выдаче, когда пользователь вводит определенный вопрос. Например, после введения вопроса «Нужен ли договор пользования общей части объектов недвижимости для продажи дома?» в результатах поиска появлялся сайт канадского медучреждения, оказавшийся взломанным хакерами.

На взломанной части сайта есть «доска объявлений» с «пользователем», задающим вопрос: «Нужен ли договор пользования общей части объектов недвижимости для продажи дома?». При этом используется та же формулировка, что и в поисковом запросе, даже если она не имеет ничего общего с фактическим содержанием взломанного сайта. На этой «доске сообщений» «профиль администратора» затем отвечает на вопрос со ссылкой, якобы содержащей дополнительную информацию.