Sikkerhedsforskere afslørede for nylig en ondsindet kampagne, der brugte SEO-forgiftning til at narre potentielle ofre til at downloade BATLOADER malware. De brugte angribere skabte ondsindede websteder spækket med nøgleord fra populære softwareprodukter, og brugte søgemaskineoptimeringsforgiftning for at få dem til at dukke op højere i søgeresultaterne. Mandante forskere observerede også en smart unddragelsesteknik, som var afhængig af mshta.exe, som er et Windows-native værktøj designet til at udføre Microsoft HTML Application-filer (MTV).
Et andet nyligt eksempel på malware, der bruger SEO-forgiftning til at inficere distribuerede brugere den kendte Raccoon infotyver. Denne kampagne kom med søgemaskineoptimerede ondsindede websteder, der rangerede højt i Google-resultater. Hackerne brugte også disse tricks på en YouTube-kanal med video om varer, eller piratkopieret software.
SEO-forgiftning leverer BATLOADER-malwaren
Med hensyn til den aktuelle BATLOADER malware-kampagne, hackerne brugte "gratis produktivitetsapps-installation" eller "gratis softwareudviklingsværktøj-installation" som SEO-nøgleord til at narre ofre til at besøge kompromitterede websteder og downloade et ondsindet installationsprogram, indeholdende legitim software bundtet med malwaren. Det skal bemærkes, at BATLOADER-malwaren droppes og udføres under softwareinstallationsprocessen.
Ifølge Mandiants rapport, "Dette indledende BATLOADER-kompromis var begyndelsen på en flertrins infektionskæde, der giver angriberne fodfæste i målorganisationen." Trusselsaktørerne brugte også legitime værktøjer såsom PowerShell, Msiexec.exe, og Mshta.exe for at undgå opdagelse af sikkerhedsleverandører.
Et af elementerne i angrebet ligner CVE-2020-1599 udnyttelse, en alvorlig fejl i Google Chrome rapporteret sidste år:
En bemærkelsesværdig prøve fundet i angrebskæden var en fil med navnet, "AppResolver.dll". Denne DLL-eksempel er en intern komponent i Microsoft Windows-operativsystemet udviklet af Microsoft, men med ondsindet VBScript indlejret inde på en måde, så kodesignaturen forbliver gyldig. DLL-eksemplet udfører ikke VBScript, når det køres af sig selv. Men når du kører med Mshta.exe, Mshta.exe lokaliserer og udfører VBScript uden problemer.
Dette problem ligner mest CVE-2020-1599, PE Authenticode-signatur forbliver gyldig efter tilføjelse af HTA-understøttede scripts underskrevet af enhver softwareudvikler. Disse PE+HTA polyglot (.hta filer) kan udnyttes gennem Mshta.exe til at omgå sikkerhedsløsninger, der er afhængige af Microsoft Windows-kodesignering for at afgøre, om filer er tillid til. Dette problem blev rettet som CVE-2020-1599.
Du kan læse mere om den alsidige infektionskæde i den oprindelige rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: