Oggigiorno nella tecnologia di marketing è un dato di fatto aggiungere script al tuo HTML che inseriscano ancora più script . Tag Manager di Google è un ottimo esempio. Ma troppo spesso gli operatori di marketing e i gestori di siti web non si rendono conto che gli script possono devastare il rendimento della pagina in cambio dell’aggiunta di annunci e del monitoraggio. Quando gli hacker (cattivi) inseriscono script in HTML a nostra insaputa, ora possono sfruttare il potenziale di posizionamento del nostro motore di ricerca per attività criminali.
In parte, ciò è possibile grazie a Googlebot e JavaScript Evergreen. Gli aggressori individuano e quindi prendono di mira le vulnerabilità in siti Web di alto livello al fine di comprometterle per l’uso con un framework di malware NodeJS chiamato Gootkit , (un gioco sulla parola: ‘ rootkit ‘), a potere pagine artificiali sotto nomi di dominio altrimenti totalmente autorevoli.
Modello SEO del framework Gootkit
Ecco come funziona: il codice generato rileva Googlebot, gli utenti ordinari e in particolare gli utenti della ricerca Google. Con un’idea avanzata delle query di ricerca su Google della potenziale vittima, gli hacker creano un modello di thread di post nel forum con un collegamento per il download di malware progettato per essere visualizzato nelle SERP di Google come la risposta perfetta per tali ricerche.
Ad esempio, un dipendente su una rete Windows utilizza Google per trovare una risorsa per scaricare un archivio zip dall’aspetto legittimo. Questo utente non sa che il download contiene JavaScript codificato con una routine di decodifica in più passaggi che riassembla ed esegue gli script dopo aver eluso con successo il rilevamento. Se aperto, il download installerà il trojan di Gootkit e comunicherà con la macchina dell’aggressore, ospitando la parte lato server del framework. Il sistema dell’utente di ricerca infetto è pronto per eseguire il trojan al riavvio da quel momento in poi.
Attacco senza file?
Una volta avviato, tutto sul computer infetto funziona utilizzando la memoria di sistema senza ulteriore utilizzo del filesystem. La novità di questo tipo di attacco, che utilizza la potenza di JavaScript in un sofisticato modo “senza file” per fungere da strategia di evasione del rilevamento, è la ragione per cui la società di analisi del malware Sophos ha ritenuto che fosse abbastanza degno di differenziarlo dalle più comuni procedure di caricamento di trojan per nome : Gootloader .
E come se ciò non fosse abbastanza nefasto, storicamente parlando, Gootkit è stato utilizzato principalmente per distribuire malware bancario Kronos tramite e-mail. Ora, con l’avvento dell’ultimo “miglioramento” del framework, Gootkit ha armato i criminali per poter utilizzare Google per la distribuzione e accedere a un’architettura di payload estesa per includere la gestione (e possibilmente la gestione) di schemi di estorsione del ransomware.
Il ransomeware è molto efficace se abbinato all’esfiltrazione di segreti per aumentare la pressione del ricatto affinché le aziende e le istituzioni paghino. È molto difficile proteggersi da questo attacco o rilevarne la presenza da parte del software anti-malware. Potrebbe persino ingannare in fretta i professionisti IT esperti. La forza lavoro ordinaria Gli utenti della ricerca Google difficilmente hanno alcuna possibilità.
Aggiunge le coppie chiave / valore del registro di sistema come parte dell’offuscamento delle proprie chiavi di decodifica e dei nomi delle variabili, il che può portare a un modo per scoprirlo. Più ovviamente, l’argomento del thread falso in un attacco riuscito a un sito Web compromesso probabilmente varierà dal resto del contenuto del sito. Il rilevamento di quel thread tramite l’analisi del contenuto e in particolare attraverso segnali rivelatori dall’output di malware del modello HTML potrebbe essere il modo in cui Google può scoprire siti compromessi e avvisare i proprietari dei siti.
E gli altri motori di ricerca?
Al momento, non sembra che gli utenti criminali del framework malware Gootkit abbiano preso di mira altri motori di ricerca per avvelenare le SERP. In teoria, non c’è nulla che impedisca loro di fare esattamente questo. Gli autori del framework Gootkit potrebbero essere da biasimare se si interessassero solo di filtrare per lo user-agent di Googlebot. Una modifica alla fonte non è sempre nel set di abilità dell’utente finale criminale.
Perché ci interessa
Ho effettivamente visto questo tipo di attacco in azione con i clienti SEO, che peggioreranno e diventeranno più frequenti. Gootkit risale al 2014 e abbiamo discusso brevemente di un caso di allora nel nostro Workshop SMX: SEO per sviluppatori . I futuri workshop con più approfondimenti sugli argomenti di sicurezza potrebbero divulgare ulteriori dettagli data la distanza nel tempo da quel particolare incidente e perché la sicurezza delle informazioni è nella nostra timoneria. Serve sia come avvertimento che come lezione per gli sviluppatori.
Se succede a qualsiasi sito su cui stai lavorando, dovrai andare alla radice per risolverlo. Nel nostro caso, è stato eval () di PHP a pubblicare maliziosamente un sito web di e-commerce di cimeli sportivi falsi sotto il nome di dominio di una famosa catena di pizzerie di Chicago. L’attacco ha tentato di sfruttare il potenziale di ranking del popolare nome di dominio e la rilevanza dell’argomento tra pizza e sport. Nella nostra qualità di agenzia interattiva, siamo stati in grado di analizzare i file di registro che ci hanno portato a scoprire e rimuovere il punto di ingresso del malware e installare misure di sicurezza per cercare di evitare che simili cose si ripetano.