Informacje napędzają dziś globalną gospodarkę. W rezultacie wiele firm polega na technikach optymalizacji pod kątem wyszukiwarek (SEO), aby między innymi poprawić swoje rankingi organiczne w wynikach wyszukiwania Google, a ostatecznie doprowadzić klientów do swoich witryn.
Niektóre z najbardziej popularnych taktyk SEO obejmują łączenie różnych stron na stronie internetowej organizacji, używanie tagów metadanych i włączanie optymalizacji słów kluczowych do postów internetowych.
Jednak nie wszystkie działania SEO są uczciwe. Podzbiór znany jako „blackhat SEO” odnosi się do nieuczciwych technik stosowanych przez witryny, które chcą zwiększyć swoje rankingi w wyszukiwarkach.
Dwie najbardziej popularne z tych taktyk obejmują użycie ukrytych słów kluczowych na stronie i wdrożenie metody zwanej „maskowaniem”, która wyświetla inną stronę w zależności od tego, czy osoba odwiedzająca witrynę lub wyszukiwarka przegląda stronę.
Administratorzy witryn mają różne motywacje, aby polegać na technikach SEO blackhat. Czasami te działania mają na celu przyciągnięcie odwiedzających do złośliwych stron internetowych, gdzie atakujący mogą następnie poprosić użytkowników o zainstalowanie niepotrzebnych lub uszkodzonych plików - tak jest w przypadku niedawnej kampanii SEO blackhat zauważonej przez Heimdal Security .
Według post na blogu na stronie Heimdal grupa napastników wykorzystuje zainfekowane strony internetowe i „dziesiątki zastrzyków skryptów”, aby nieświadomie wylądować na zainfekowanych stronach i udostępniać im szkodliwe pliki do pobrania.
Atak rozpoczyna się, gdy użytkownicy sprawdzają wiele popularnych słów kluczowych, w tym „Java JRE”, „MSN 7” i „Windows 8.” Te słowa kluczowe stanowią setki tysięcy wyszukiwań każdego miesiąca. Zgodnie z tą szczególną kampanią SEO blackhat, przywołują również wiele stron internetowych, które zostały zainfekowane złośliwym kodem w celu rozprzestrzeniania złośliwego oprogramowania na niczego nie podejrzewających użytkowników.
Niektóre z zainfekowanych stron to:
- http: //www.mypromediastoreone [.] com / 00002954 / download.php? id = 2954 & sid = sb-110 i nazwa = Java + środowisko wykonawcze + środowisko + Windows + 8 + 64 + bit,
- http: //www.mymediasearchnowone [.] com / 000000002954 / download.php? id = 2954 & sid = sb-110 i nazwa = Java + środowisko wykonawcze + środowisko + Windows + 8 + 64 + bit
- http: //www.smartmediafinderone [.] com / 02954 / download.php? id = 2954 & sid = sb-110 i nazwa = Java + środowisko wykonawcze + środowisko + Windows + 8 + 64 + bit
Bardziej wyczerpującą listę można zobaczyć na poniższym obrazku.
Źródło: Heimdal Security
„Na tych stronach ofiara jest zwabiona technikami inżynierii społecznej, aby zainstalować pakiet Java JRE”, wyjaśnia Heimdal w swoim poście. Te próbki są uszkodzone przez złośliwe oprogramowanie.
Heimdal zauważa, że napastnicy prowadzący kampanię SEO blackhat są również zajęci kolejnym atakiem: kierują użytkowników na strony pornograficzne, które obsługują ich złośliwy kod.
Ten atak jest zakończony za pomocą zestawu Angler Exploit Kit, unikalny dystrybutor złośliwego oprogramowania który był niedawno skierowany przez badaczy Cisco Security w próbie zmniejszenia liczby infekcji ransomware w Internecie.
Heimdal skontaktował się z zespołem ds. Bezpieczeństwa Google, oczekując, że wkrótce usunie złośliwe strony internetowe z wyników wyszukiwania. W międzyczasie użytkownicy są proszeni o zainstalowanie rozwiązania antywirusowego na swoich komputerach i nigdy nie pobierać oprogramowania z niepewnych źródeł.
Zdjęcie dzięki uprzejmości ShutterStock
Php?Php?
Php?