Воскресенье, 22 декабря, 2024

Первые результаты поиска Google могут быть заразными – новая методика Gootloader киберпреступников

Ища через Google, стоит воздержаться от кликов по первой ссылке в его выдаче. Авторы вредителей REvil, Gootkit, Kronos и Cobalt Strike начали активно использовать новую методику их доставки под названием Gootloader. Она максимально удалена от передачи файлов и позволяет вредным программам избегать обнаружения по интернету до момента их активации. Google также не замечает, что топ его выдачи содержит зараженные ссылки.

О новой методике доставки вредоносных программ рассказали эксперты фирмы по кибербезопасности Sophos. Gootloader использует различные практики поисковой оптимизации (SEO), чтобы оказаться на топовых местах в поисковой выдаче Google. Основными элементами для этого являются использование технологий и человеческой психологии.

Например, операторы Gootloader удерживают сеть серверов, которая в любой момент насчитывает порядка 400 машин. Это могут быть взломанные легальные сайты.

Среди таких ресурсов – неонатальный медицинский центр в Канаде. Их контент не имеет никакой связи с недвижимостью, поскольку сайт рассказывает о врачах и новорожденных. Однако Google показывает этот сайт первым в запросе о недвижимости.

При этом сам Google показывает, что это не реклама и что этот сайт отслеживается поисковиком уже семь лет.

Когда юзер переходит на этот сайт, ему показывают другую страницу, которая вроде бы отвечает на его вопросы. На этой странице содержится точное повторение фразы, которая была введена в Google.

На странице также содержится ссылка на загрузку архива, имя которого также точно повторяет введенную юзером поисковую фразу. Внутри архива содержится файл JavaScript, который запускает механизм инфицирования пользователя.

Только этот JavaSript-файл записывается на диск, все остальные этапы заражения выполняются в оперативной памяти. Традиционные антивирусы не способны противостоять этому.

Gootloader нацелен преимущественно на запросы на английском языке, однако специалисты имеют также образцы на немецком, французском и корейском. Французскоязычные юзеры, например, могут заразиться после поиска по фразе exemple de d?dicace ? une amie (пример преданности другу).

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися