Un reporte de seguridad elaborado por los investigadores de Sophos menciona que la comunidad cibercriminal ha encontrado una forma de abusar de los métodos de optimización de motor de búsqueda (SEO) con el fin de desplegar malware a tantas víctimas como les sea posible en un solo ataque. Acorde a los expertos, este método de “desoptimización” incluye técnicas de SEO e ingeniería social con el fin de colocar sitios web comprometidos en los primeros lugares de Google.
Cabe recordar que la optimización de SEO se refiere a las técnicas utilizadas por los administradores de sitios web para incrementar de forma orgánica la exposición de sus plataformas en los motores de búsqueda más populares. El reporte menciona que los hackers maliciosos pueden manipular los sistemas de administración de contenido (CMS) para desplegar malware usando estas técnicas.
La técnica fue bautizada como “Gootloader”, y requiere de la implementación de un troyano de acceso remoto del mismo nombre y que incluye otras variantes de malware. Los expertos creen que esta campaña involucra el uso de alrededor de 400 servidores maliciosos, por lo que este es un esfuerzo criminal considerable.
Aunque aún se desconoce el método usado por los hackers para comprometer los dominios, los expertos mencionan que los CMS que ejecutan el backend de estos sitios web podrían ser comprometidos usando el malware asociado a esta campaña. Una vez que obtienen acceso, los hackers maliciosos insertan algunas líneas de código para realizar verificaciones del contenido del sitio afectado, dirección IP, ubicación y consultas originadas en Google.
Los sitios web afectados son manipulados para responder a consultas de búsqueda específicas, además que se modifican sus configuraciones y se altera la forma en que se presenta el contenido del sitio a los usuarios. En la mayoría de los casos, los usuarios que ingresan a un sitio web atacado encuentran un sitio web de apariencia normal que a la postre se convierte en texto basura. Posteriormente se mostrará una publicación falsa en el foro que contiene una respuesta aparente a la consulta, además de un enlace de descarga directa.
Si un usuario interactúa con estos enlaces, recibirán un archivo ZIP con un nombre relacionado con los términos utilizados además de un archivo .js que se ejecuta en la memoria y después se descifra el código oculto para activar las otras cargas útiles incluidas en Gootloader. Este ataque incluye la infección del troyano bancario Gootkit y algunas variantes de ransomware como Kronos, Cobalt Strike y REvil.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad