Шукаючи через Google, варто утриматися від кліків по першим посиланням в його видачі. Автори шкідників REvil, Gootkit, Kronos та Cobalt Strike почали активно використовувати нову методику їхньої доставки під назвою Gootloader. Вона максимально віддалена від передачі файлів та дозволяє шкідливим програма уникати виявлення по інтернету до моменту їхньої активації. Google також не помічає, що топ його видачі містить заражені посилання.
Про нову методику доставки шкідливих програм розповіли експерти фірми з кібербезпеки Sophos. Gootloader використовує різні практики пошукової оптимізації (SEO), щоб опинитися на топових місцях у пошуковій видачі Google. Основними елементами для цього є використання технологій та людської психології.
Наприклад, оператори Gootloader утримують мережу серверів, яка в будь-який момент нараховує приблизно 400 машин. Це можуть бути зламані легальні сайти.
Серед таких ресурсів – неонатальний медичний центр у Канаді. Їхній контент не має жодного зв’язку з нерухомістю, оскільки сайт розповідає про лікарів та новонароджених. Однак Google показує цей сайт першим у запиті про нерухомість.
При цьому сам Google показує, що це не реклама і що цей сайт відслідковується пошуковиком уже сім років.
Коли юзер переходить на цей сайт, йому показують іншу сторінку, яка начебто відповідає на його питання. На цій сторінці міститься точне повторення фрази, яка була введена в Google.
На сторінці також міститься посилання на завантаження архіву, ім’я якого також точно повторює введену юзером пошукову фразу. Усередині архіву міститься файл JavaScript, який запускає механізм інфікування комп’ютера користувача.
Лише цей JavaSript-файл записується на диск, усі інші етапи зараження виконуються в оперативній пам’яті. Традиційні антивіруси не здатні протистояти цьому.
Gootloader націлений переважно на запити англійською мовою, проте фахівці мають також зразки німецькою, французькою та корейською. Французькомовні юзери, наприклад, можуть заразитися після пошуку по фразі exemple de d?dicace ? une amie (приклад відданості другу).
