Los usuarios caen involuntariamente en sitios fraudulentos o poco confiables
Expertos en forense digital reportan la aparición de una campaña de contaminación en la optimización de motores de búsqueda (SEO) dirigida contra las palabras clave asociadas con las elecciones intermedias en Estados Unidos. Los usuarios que se sienten atraídos a visitar estas páginas serán redirigidos a una variedad de sitios fraudulentos, sitios para adultos y sitios que promocionan software indeseable.
La contaminación de SEO se presenta cuando los atacantes crean sitios maliciosos o hackean sitios legítimos para generar páginas que promueven ciertas palabras clave. Estas páginas luego se vinculan entre una gran cantidad de sitios bajo el control del atacante para obtener altas clasificaciones en los resultados del motor de búsqueda para las palabras clave promovidas. Los visitantes de estos sitios se encuentran con anuncios fraudulentos o son redirigidos a otros sitios que promocionan software no deseado o infectan a los usuarios mediante kits de explotación.
En un informe publicado por una firma de ciberseguridad y forense digital, se reporta cómo los atacantes han hackeado más de 10 mil sitios web para promover 15 mil palabras clave diferentes. Esta investigación indica que la gran mayoría de los sitios involucrados en esta campaña de contaminación están ejecutando WordPress, aunque se desconoce qué vulnerabilidades están siendo explotadas para comprometer estos sitios.
A medida que se acercan las elecciones intermedias en Estados Unidos, los hackers tratan de aprovechar las palabras clave relativas al tema para atraer a los usuarios a sus sitios maliciosos.
Acorde a los investigadores, estas páginas mostrarán contenido diferente dependiendo de quién esté visitando la página. Cuando el search engine spider visita la página, encontrará contenido que permitirá que la página contamine los resultados del buscador, mientras que los usuarios normales serán redirigidos a través de una serie de redirecciones que finalmente los llevarán a una página de estafas, sitios web para adultos, extensiones de navegador no deseadas o kits de explotación.
A continuación se muestra un ejemplo de una página de actualización de Java falsa que fue impulsada por esta campaña. El programa promovido a continuación instalaría un troyano de minería en la computadora del usuario afectado:
La campaña también apunta a búsqueda de palabras clave relacionadas con ransomware
Los especialistas reportan que encontraron esta campaña después de descubrir diversos sitios anunciando supuestas herramientas para eliminar el cifrado de archivos infectados con ransomware de manera gratuita.
Algunos ejemplos de las palabras clave contaminadas en esta campaña son:
- rapid ransomware removal
- Decrypt crypted000007
- Ransomware recovery
- Ransomware extensions list
Acorde a reportes de expertos en forense digital del Instituto Internacional de Seguridad Cibernética, las URL de los sitios asociados a este tipo de campaña pueden ser identificables, pues guardan una estructura similar a [nombre del dominio]/[contenido aleatorio]/[aleatorio].php?[aleatorio_variable]=[palabra clave]
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
