勒索团伙通常只会针对大中型企业进行数百万美元的勒索攻击,因为普通个体并不愿意支付大额赎金。但是近年来勒索软件有下沉和“内卷”的趋势,开始收割中小企业甚至个人用户,投放手法也随之改变。
近日,研究人员发现了两个可能与REvil勒索软件团伙或SolarMarker后门相关的攻击活动中使用了SEO投毒方法向目标提供有效载荷。调查显示,一个REvil加盟团伙曾进行了大规模攻击以感染普通消费者和小型企业,与动辄数百万美元的赎金金额不同,该团伙索要的赎金金额仅为1500~7500美元,虽然不确定该团伙是否利用了SEO投毒攻击,但这种类型的攻击符合他们不具备针对性地对任何类型受害者进行攻击的特征。
SEO投毒,也称为“搜索毒化”,是一种通过“黑帽”SEO技术来优化网站,以达到在搜索引擎结果中排名更高目的的攻击方法。
由于搜索排名靠前,登陆这些网站的受害者往往认为它们是合法的,而攻击者们则乘机收割搜索特定关键字的大量访问者。
勒索软件的SEO
根据Menlo安全团队的调查结果,恶意软件分发者的SEO投毒攻击呈上升趋势,其中Gootloader和SolarMarket这两个恶意软件格外需要注意。
攻击者通过上述的恶意软件在搜索网站上注入了涵盖2000多个独特搜索词的关键字,如“运动精神”、“工业卫生检测”、“职业发展评估测试”等。受害者在搜索相应关键词后,搜索结果会显示出一些PDF文件,访问时会提示用户下载文档,如下所示:
点击下载按钮后,受害者就会被重定向到一系列最终投放恶意负载的网站。攻击者通过这些重定向的方式,来避免站点因托管恶意内容而被从搜索结果中删除。
利用WordPress插件漏洞
在研究人员发现的另外两个活动中,攻击者并没有创建自己的恶意网站,而是入侵了在谷歌搜索排名中靠前的合法WordPress网站。
攻击者利用这些合法网站“Formidable Forms”WordPress插件中的一个未公开漏洞实施攻击,有些攻击者还曾将恶意PDF上传到“/wp-content/uploads/formidable/”的文件夹中。据了解,5.0.07版本是该插件集中发现的受感染的最新版本,如果有用户正在使用此特定插件,建议尽快升级到5.0.10或更高版本。
下表显示了在上述中受感染的网站类型中所涉及的垂直行业:
从上图中可以看出,攻击者主要针对商业、NGO、医疗、电商、教育等行业的站点,原因可能是它们通常以指南和报告的形式托管PDF。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】