Posté le février 3, 2022 à 9:27
LES ACTEURS DE MENACES UTILISENT L’EMPOISONNEMENT PAR SEO POUR DÉPLOYER DES LOGICIELS MALVEILLANTS, PRÉVIENNENT LES CHERCHEURS
Les chercheurs de Sophos ont découvert une campagne d’attaque par optimisation des moteurs de recherche (SEO) qui distribue des logiciels malveillants sous forme de fichiers PDF.
Les acteurs de menaces impliqués dans cette campagne abusent de la confiance dans les utilitaires logiciels authentiques pour inciter les utilisateurs à télécharger le logiciel malveillant BATLOADER sur les systèmes compromis.
Le rapport indique que le logiciel malveillant SolarMarker est à l’origine de cette campagne. Ce logiciel malveillant voleur d’informations a été détecté pour la première fois en 2020. SolaMarker est également utilisé comme porte dérobée et était généralement installé lorsque les victimes visitent un résultat de recherche Google. Les liens sont conçus pour inciter l’utilisateur à télécharger un faux installateur Windows qui exécute un script PowerShell.
L’acteur de la menace a utilisé les thèmes « installation d’outils de développement de logiciels gratuits » ou « installation d’applications de productivité gratuites », qui sont des mots-clés de référencement, pour tromper les victimes, selon le rapport.
Le rapport note également que les techniques des attaquants présentent certaines similitudes avec la méthode utilisée par le groupe de ransomware Conti, qui a été publié en août de l’année dernière.
La campagne a été très efficace
Bien que l’empoisonnement du référencement n’est pas une technique nouvelle, les acteurs de la menace ont rendu cette campagne très efficace, ce qui la distingue d’autres attaques similaires.
La technique d’attaque SEO a utilisé une combinaison de pages Web trompeuses et de discussions Google Groups, ainsi que des documents PDF hébergés sur des sites Web compromis. Les acteurs de la menace ont adopté une approche sophistiquée, puisqu’ils ont placé les leurres SolarMarket en tête des résultats de recherche, attirant ainsi de nombreuses cibles.
Sean Gallagher, chercheur senior en menaces chez SophosLabs, a commenté les résultats de l’étude. Il a déclaré que la menace posée par l’attaque par empoisonnement du référencement est unique car une grande partie de l’empoisonnement du référencement ne provient pas d’opérateurs individuels mais d’opérations de « downloader-as-a-service ».
Il a ajouté que l’empoisonnement par référencement était une attaque très courante, facile à détecter et à maîtriser. Mais cette technique n’est pas très courante ces derniers temps car elle ne fonctionne pas bien sur les attaques ciblées. La plupart des attaques courantes par empoisonnement sont généralement accompagnées de services de distribution de logiciels malveillants payants. M. Gallagher note que ces attaques se présentent généralement sous la forme d’opérations de crypto-fraude par des logiciels malveillants ou comme une partie persuasive de logiciels malveillants voleurs d’informations.
Les opérateurs de logiciels malveillants ont utilisé trois méthodes de manipulation du référencement
Il n’est pas courant de voir un opérateur de logiciels malveillants créer son infrastructure d’empoisonnement du référencement, ce qui est exactement ce qui s’est passé avec la dernière attaque, ajoute M. Gallagher.
Le rapport révèle également que l’opérateur de logiciels malveillants a utilisé trois méthodes de manipulation du référencement pour diffuser SolarMarker. Dans la première méthode, il a créé des groupes Google avec environ 600 faux messages et les a nommés d’après différents éléments de recherche afin d’obtenir le meilleur classement. Les commentaires des messages contiennent des liens PDF qui redirigent vers les installations .msi malveillantes.
Les acteurs de la menace SolarMarker ont créé un fichier PDF infesté de logiciels malveillants selon la deuxième méthode. Ces fichiers ont des inscriptions SEO qui apparaissent dans les résultats de recherche, ce qui redirige vers un installateur Windows. Dans la troisième méthode, les hackers ont utilisé des sites WordPress trompeurs qui contiennent du code HTML.
« La source HTML de ces pages malveillantes contient des collections de liens pour d’autres termes de recherche », note le rapport. Ces pages malveillantes sont liées à d’autres pages infestées de logiciels malveillants sur le même serveur infiltré.
Parmi les éléments de recherche exploités par le logiciel malveillant SolarMarker figurent « manuel », « application », « feuille de travail » et « université ».
La menace de SolarMarker est toujours présente
Selon le rapport, l’empoisonnement du référencement a été très efficace, de sorte que les trois méthodes répertoriées présentaient des liens pour les termes recherchés dans les 10 premiers résultats de recherche de Google.
Sophos indique que le logiciel malveillant SolarMarker a été découvert en octobre de l’année dernière. La société de recherche a déclaré que les menaces de l’attaque sont toujours visibles, même si la campagne semble avoir cessé.
Le dernier site de téléchargement utilisé par les opérateurs de la campagne a été fermé, mais les déploiements précédents sont toujours actifs. Les chercheurs ont révélé que le nombre d’attaques a diminué depuis novembre de l’année dernière, mais que le logiciel malveillant n’a pas disparu. Cela signifie que les acteurs de la menace pourraient reprendre une nouvelle campagne en utilisant une nouvelle infrastructure en peu de temps.
Réduire l’empoisonnement du référencement malveillant
M. Gallagher a répondu par l’affirmative à la question de savoir si les opérateurs de moteurs de recherche peuvent faire quelque chose pour réduire la propagation du logiciel malveillant. Il a indiqué que les opérateurs de moteurs de recherche tels que Google peuvent modifier les algorithmes pour cibler les sites frauduleux. Ils peuvent le faire en ciblant les fermes de liens de termes de recherche sans rapport avec une page, puis en la signalant comme spam ou en la rétrogradant. Ils peuvent également créer des liens plus profonds lors de l’indexation pour trouver des téléchargements de fichiers qui n’ont aucun rapport.