Cuando un hacker invade un sitio web para divulgar un enlace a un virus, desea que ese enlace sea pulsado la mayor cantidad de veces posible. Eso no ocurrirá si el SEO de la víctima es malo, si no recibe muchos visitantes, por lo que mejorar el SEO de una página puede ser inteligente para los criminales.
Eso es precisamente lo que hacen los ciberatacantes que han sido analizados por Sophos, criminales que usan trucos SEO para atraer visitas a la página y después ofrecer malware financiero, herramientas de explotación y ransomware.
Hablan de la técnica denominada «Gootloader», donde tiene especial importancia la infección para el troyano de acceso remoto Gootkit (RAT), que también ofrece una variedad de otras cargas útiles de malware.
Aquí tenemos los pasos que realizan:
– Entran en la sección de administración de un sitio web, ya sea mediante un agujero de seguridad del CMS o mediante fuerza bruta.
– Se insertan algunas líneas de código en el cuerpo del contenido del sitio web.
– Se analizan consultas que se originan en la búsqueda de Google.
– Se modifica el contenido de la web infectada para que responda exactamente a consultas de búsqueda específicas. Es algo muy común en foros, ya que pueden alterarse las respuestas para que coincidan exactamente con lo que la gente busca en Internet.
– El código malicioso que se ejecuta en el servidor vuelve a dibujar la página para cada visitante, para que parezca que dicho visitante ha encontrado la respuesta ideal a su pregunta. Generalmente la respuesta se encuentra en los comentarios, con el enlace que lleva al código malicioso.
– El visitante pulsa en el enlace de descarga directa y baja un zip cuyo nombre se relaciona con el término de búsqueda, que contiene un archivo .js. Al abrir ese archivo, comenzará a descargarse la verdadera amenaza, de forma transparente para que el usuario no sospeche nada.
Según Sophos, la técnica se está utilizando para difundir el troyano bancario Gootkit, el ransomware Kronos, Cobalt Strike y REvil , entre otras variantes de malware, en Corea del Sur, Alemania, Francia y Estados Unidos.
Como consejos:
– Proteged la sección de admin de vuestro sitio web y mantened todo bien actualizado.
– Monitorizad cambios en el contenido.
– Si bajáis un zip de internet, mirad el contenido antes de abrirlo. Si es un .js, un .exe o cualquier otro ejecutable, no lo abráis nunca, aunque también puede haber amenazas dentro de imágenes.
Podéis ver el informe completo de Sophos en este enlace.