Categories
SEO

Cómo Gootkit Trojan distribuye Ransomware a través de Google SERPS

Es una tecnología de marketing en la actualidad, en la actualidad, agregue scripts a su HTML que inyecten aún más script . El administrador de etiquetas de Google es un gran ejemplo. Pero con demasiada frecuencia, los vendedores y los gerentes de sitios web no se dan cuenta de que los scripts pueden causar estragos en el rendimiento de la página a cambio de agregar anuncios y seguimiento. Cuando (malos) hackers inyectan script en HTML sin nuestro conocimiento, ahora pueden aprovechar nuestro potencial de clasificación de motores de búsqueda para la empresa criminal.

en parte, esto es posible, esto es posible debido a la googlebot y JavaScript de hoja perenne. Los atacantes ubican y luego apuntan las vulnerabilidades en sitios web altamente clasificados para comprometerlos para su uso con un marco de malware NODEJS llamado Gootkit , (una obra en la palabra: ‘ Rootkit ‘), a POTENCIA PÁGINAS ARTIFICALES SIN DESPORTASNombres de dominio de Otally Autoritive.

Plantilla de SEO de Gootkit Framework

. A continuación, la forma en que funciona: el código generado detecta a Googlebot, usuarios ordinarios y, especialmente, los usuarios de búsqueda de Google. Con una idea avanzada de las consultas de búsqueda de Google de la Víctima potenciales, los hackers crean una plantilla de hilo de poste del foro con un enlace de descarga de malware que está diseñado para aparecer en Google SERPS como la respuesta de recursos perfecta para esas búsquedas.

Por ejemplo,

, por ejemplo, Un empleado en una red de Windows usa Google para encontrar un recurso para descargar un archivo zip Legit. Este usuario no sabe que la descarga contiene JavaScript revuelto con una rutina de decodificación de varios pasos que re-ensamblan y ejecuta scripts después de evadir exitosamente la detección. Si se abre, la descarga instalará el Trojan de Gootkit D Comunicarse con la máquina del atacante, alojar la parte del lado del servidor del marco. El sistema de búsqueda de búsqueda infectada está preparado para ejecutar el troyano en el reinicio a partir de entonces.

Ataque de impulso?

Se inició una vez, todo en la computadora infectada funciona con la memoria del sistema sin más uso del sistema de archivos. La novedad de este tipo de ataque, utilizando el poder de JavaScript en una forma sofisticada “sin incansable” de servir como una estrategia de evasión de detección, es la razón por la que la compañía de análisis de malware Sophos le consideró lo suficientemente digno como para diferenciarlo de los procedimientos de carga más ordinarios de Troya. : GootLoader

.

Y como si no fuera lo suficientemente nefaria, históricamente hablando, Gootkit se usó principalmente para distribuir el malware bancario

kroNos

por correo electrónico. Ahora, con el advenimiento de la última “mejora” al marco, los delincuentes armados de Gootkit para poder usar Google para su distribución y acceder a una arquitectura de carga útil extendida para incluir el manejo (y posiblemente administrar) los esquemas de extorsión de Ransomware.

Ransomeware es altamente efectivo cuando se combina con la exfiltración de secretos para agregar presión de chantaje para que las empresas e instituciones paguen. Este ataque es muy difícil de proteger, o para el software anti-malware para detectar la presencia de. Incluso podría engañar a los profesionales de TI sazonados a toda prisa. Los usuarios de la Búsqueda de trabajo ordinaria de Google apenas tienen una oportunidad.

Agrega la tecla de registro del sistema / pares de valor como parte de la confusión de sus propias claves de decodificación y los nombres de variables, lo que puede llevar a una manera de descubrirlo.Obviamente, obviamente, el tema del hilo falso en un ataque exitoso en un sitio web comprometido probablemente variará del resto del contenido del sitio. Detectar ese hilo mediante análisis de contenido y especialmente a través de las señales reveladoras de la salida de la plantilla HTML, la salida de malware podría ser cómo puede descubrir los sitios comprometidos y alertar a los propietarios del sitio.

¿Qué pasa con otros motores de búsqueda?

en este momento , no parece que los usuarios criminales del marco de malware Gootkit han apuntado a otros motores de búsqueda para envenenar a los SERPS. Teóricamente, no hay nada detenerlos de hacer exactamente eso. El (los) autor (s) de marco de Gootkit puede ser culpable si solo les importaba filtrar el agente de usuario de Googlebot. Una modificación de la fuente no siempre está en el conjunto de habilidades del usuario final criminal.

¿Por qué W?E CARE En realidad, he visto este tipo de ataque en acción con los clientes SEO, y solo van a empeorar y ser más frecuentes. Gootkit se remonta a 2014, y discutimos brevemente un caso de en ese entonces en nuestro

Taller SMX: SEO para desarrolladores

. Los talleres futuros con más profundidad en los temas de seguridad pueden divulgar detalles adicionales dada la distancia con el tiempo desde ese incidente en particular y, debido a que la seguridad de la información está en nuestra timonera. Sirve tanto como una advertencia como una lección para los desarrolladores.


Si le sucede a cualquier sitio en los que está trabajando, tendrá que ir a la raíz para resolverlo. En nuestro caso, fue la evaluación de PHP () que publicó maliciosamente un sitio web de comercio electrónico de recuerdo deportivo falso bajo un popular nombre de dominio de la cadena de pizza de Chicago. El ataque attEmptados a cuestas en el potencial de clasificación del nombre de dominio popular y la relevancia del tema entre pizza y deportes. En nuestra capacidad, como su agencia interactiva, estábamos en condiciones de analizar archivos de registro que nos llevaron a descubrir y eliminar el punto de entrada de malware e instalar las salvaguardas para intentar intentar de evitar que ocurran dichas cosas.

Leave a Reply

Your email address will not be published. Required fields are marked *