络犯罪分子将注意力转向互联 上最常见的活动之一——谷歌搜索,只是时间问题。最新的伎俩是使用长尾搜索词和合法 站来传递Gootkit远程访问特洛伊木马。
正如Sophos分析师在博客中所描述的那样,GootkitRat的最新版本使用了“恶意搜索引擎优化技术进入谷歌搜索结果”。这家 络安全公司 告说,犯罪分子正在北美、韩国、德国和法国使用这种他们称之为Gootloader的新变种来传递恶意软件有效载荷。Sophos的研究发现,不好的行为体并没有像其他搜索引擎那样频繁或成功地攻击其他搜索引擎。
科罗拉多搜索引擎优化专业公司首席执行官兼创始人克里斯?罗杰斯(chrisrodgers)表示,这一新策略将谷歌作为一个门户,利用搜索引擎优化知识,特别是关于长尾搜索的知识。
他说:“他们必须去寻找竞争激烈、搜索量小的主题,而且他们必须以大量的数量来寻找,这样才能获得丰厚的利润。”。
黑客似乎是通过WordPress之类的内容管理系统和插件获得控制权。
罗杰斯说,黑客正在使用JavaScript生成的页面,并优化页面的各种元素,如标题标签。他还说,不良演员可能是利用人工智能为这些 页编写内容。
他还表示,人工智能对搜索引擎优化(SEO)产生了巨大影响,谷歌新推出的人工智能工具消除了影响搜索结果的大部分机会。
分析人士在博客中说,这种新的传递方式在很大程度上依赖于技术和人类心理。坏人入侵合法 站,添加不相关内容的 页。Sophos的分析以一家医疗机构的 站为例,该 站被黑客入侵,以托管有关房地产合同的 页。恶意页面以讨论线程的形式出现,其中包含一个非常特定的问题。
对查询的回复包括到zip存档文件的直接下载链接,该文件名与搜索查询匹配。正如Sophos分析师所解释的:
“这个.js文件是最初的感染者,也是感染过程中唯一一个将恶意文件写入文件系统的阶段。目标双击后发生的所有事情此脚本完全在内存中运行,传统的端点保护工具无法访问。”
研究人员解释了攻击的机制,包括特定位置的元素。分析人士还注意到,许多被黑客攻击的 站使用一个“众所周知的内容管理系统”,受威胁者通过修改该系统来改变 站呈现给某些用户的方式,这取决于他们如何到达受感染的 站。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!