Hackers utilizan Googlebot en ataques de malware de minado

Cibercriminales abusan de los servidores de Googlebot para entregar cargas maliciosas en nueva campaña

El año pasado, una campaña de malware utilizó Google Adwords y Google Sites para propagar malware. Posteriormente, otra reveló cómo los hackers explotaban los resultados de búsqueda de Google para distribuir el troyano bancario Zeus Panda.

Ahora, expertos en forense digital han identificado un comportamiento inusual en los servidores de Googlebot, donde se originan solicitudes maliciosas. Esto conlleva serias consecuencias porque muchos proveedores confían en Googlebot hasta tal punto que les permiten influir en sus decisiones de seguridad organizacional.

La vulnerabilidad de ejecución remota de código (CVE-2018-11776) identificada en Apache Struts 2 en agosto de este año entregó JavaPayload a través de la URL;  los expertos en forense digital notaron que la campaña conocida como CroniX explotaba esta falla para distribuir malware de minado de criptomoneda. El mismo agente malicioso estaba siendo utilizado para explotar el servicio de Googlebot. Los investigadores señalaron que algunas de las solicitudes ofensivas generadas en la campaña CroniX en realidad se originaron en los servidores de Google.

Debe tenerse en cuenta que no tiene otra elección más que confiar en Googlebot si desea que su sitio web aparezca en los resultados del buscador de Google. Por lo tanto, la mayoría de los proveedores simplemente confían en la legitimidad del tráfico que llega a través de los servidores de Googlebot. Esto implica que fue posible que las solicitudes maliciosas que se originaron en los servidores de Googlebot omitieran algunos de los mecanismos de seguridad clave sin ninguna autenticación y que puedan terminar entregando cargas maliciosas. Si estas direcciones IP son bloqueadas automáticamente por el mecanismo de mitigación de una organización, se bloqueará Googlebot y esto disminuiría la clasificación de la organización en los resultados de búsqueda de Google.

En pocas palabras, Googlebot sigue cada enlace en su sitio y sigue el enlace de estas páginas para permitir que Google agregue páginas desconocidas previamente para expandir su base de datos de búsqueda. Este método también permite a Google analizar nuevos sitios web antes de ponerlos a disposición de los usuarios. Este método implica enviar una solicitud GET a cada URL que contienen los enlaces. Las solicitudes generadas por Googlebot se basan en los enlaces sobre los que no tienen control y tales enlaces nunca se validan.

Este método puede ser explotado fácilmente por un hacker, engañando a Googlebot para que envíe solicitudes maliciosas a víctimas al azar; el atacante puede agregar dichos enlaces en un sitio web y cada uno de ellos contendrá la dirección de destino y la carga útil de ataque.

Cuando Googlebot identifica el enlace malicioso, lo sigue y envía una solicitud GET malintencionada a la dirección de destino, y la solicitud mantendrá la carga útil de explotación. Los investigadores verificaron el método manipulando Googlebot para enviar solicitudes maliciosas a una dirección IP dirigida utilizando dos servidores, uno para el atacante y otro para el objetivo.

Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética recomiendan que los proveedores verifiquen su nivel de confianza en relación con los servicios de terceros para garantizar que haya múltiples niveles de seguridad, y así como validar sus datos. Google ha sido informada sobre el problema, se espera que en los próximos días la vulnerabilidad sea corregida.