استفاده بدافزارهای REvil و SolarMarker از حملات SEO Poisoning

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir revil and solarmarker employ seo poisoning attacks 1
تیم Menlo Labs دو کمپین جداگانه را کشف کرده است که بک‌دور‌های REvil و SolarMarker را مستقر می‌کنند. هر دو کمپین از روش آلوده کردن سئو (SEO Poisoning) برای توزیع payload‌ها در سیستم‌های قربانیان هدف استفاده می‌کنند.

نحوه انجام حمله
به گفته محققان، کمپین‌های اخیر Gootloader و SolarMarker (انتشار backdoor‌های REvil و SolarMarker) به طور فزاینده‌ای از آلوده‌سازی SEO برای هدف قرار دادن قربانیان خود استفاده می‌کنند.

• مهاجمان به سایت‌های مبتنی بر وردپرس کلمات کلیدی را تزریق می‌کنند که ۲۰۰۰ موضوع و عبارت جستجوی منحصربه‌فرد را پوشش می‌دهند که از جمله می‌توان به ارزیابی توسعه حرفه‌ای، مقاومت ذهنی در ورزش، و رعایت بهداشت صنعتی اشاره کرد.
• وب سایت‌های مخرب برای این کلمات کلیدی در گوگل بهینه‌سازی شده‌اند. در نتیجه، نتایج جستجو به صورت PDF به کاربران نشان داده شد و از کاربران خواسته می‌شود که فایل را دانلود نمایند.
• علاوه بر این، تغییر مسیر‌های سایت‌ها، آن‌ها را از امکان حذف شدن از نتایج جستجو مصون می‌دارد.

تکنیک مهاجمان برای میزبانی PDF
• این کمپین از چندین مکان برای ارائه فایل‌های PDF مخرب استفاده کرده است که ایالات متحده در صدر فهرست و پس از آن، ایران و ترکیه قرار دارند.
• مهاجمان بیشتر سایت‌هایی را در رده کسب‌وکار هدف قرار می‌دهند که عموماً فایل‌های PDF را به عنوان راهنما و گزارش میزبانی می‌کنند.
• به‌علاوه، برخی از سایت‌های معروف آموزش و سایت‌های با پسوند .gov در حال انتشار فایل‌های PDF مخرب بوده‌اند.

هک سایت‌ها از طریق افزونه وردپرس
در این دو کمپین، مهاجمان سایت‌های مخرب خود را ایجاد نکردند، بلکه در عوض سایت‌های وردپرس را با رتبه‌بندی جستجوی "خوب" هک کردند.
• این سایت‌ها به دلیل آسیب‌پذیری نامشخص در افزونه Formidable Forms وردپرس هک شدند.
• نسخه 5.0.07 این افزونه در معرض خطر قرار داشته است، اما آسیب‌پذیری در نسخه 5.0.10 به بعد برطرف گردیده است.

کلام پایانی
افزایش ناگهانی دورکاری و کار از راه دور منجر به افزایش حملات مبتنی بر SEO شده است. کار از راه دور شامل جستجو‌ها بوسیله اینترنت‌های باز و از طریق مرورگر‌های وب است که شانس دستکاری‌های مبتنی بر SEO را به طور قابل توجهی افزایش می‌دهد. بنابراین، کارشناسان توصیه می‌کنند که همه سایت‌های تغییر مسیر یا ریدایرکت که در TDL‌های .site یا .tk میزبانی می‌شوند و همچنین دانلود فایل‌ها از منابع ناشناس، مسدود شوند.

برچسب ها: gov, TDL‌, سئو, آلوده کردن سئو, SEO Poisoning, Gootloader, Formidable Forms, بک‌دور, PDF, Solarmarker, SEO, Payload, Iran, REvil, وردپرس, WordPress, cybersecurity, ایران, آسیب‌پذیری, phishing, malware, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ