Casa > Cyber ​​Notizie > Gli hacker utilizzano l'avvelenamento SEO per fornire il malware BATLOADER
CYBER NEWS

Gli hacker utilizzano l'avvelenamento SEO per fornire il malware BATLOADER

Gli hacker utilizzano l'avvelenamento SEO per fornire il malware BATLOADER

I ricercatori della sicurezza hanno recentemente scoperto una campagna dannosa che utilizza l'avvelenamento SEO per indurre le potenziali vittime a scaricare il malware BATLOADER. Gli aggressori utilizzati hanno creato siti dannosi pieni di parole chiave di prodotti software popolari, e ha utilizzato l'avvelenamento dell'ottimizzazione dei motori di ricerca per farli apparire più in alto nei risultati di ricerca. I ricercatori Mandiant hanno anche osservato una tecnica di evasione intelligente che si basava su mshta.exe, che è un'utilità nativa di Windows progettata per eseguire file di applicazioni HTML Microsoft (HTA).




Un altro esempio recente di malware che utilizza l'avvelenamento SEO per infettare gli utenti distribuiti il noto infostealer di Raccoon. Questa campagna includeva siti dannosi ottimizzati per i motori di ricerca che si classificavano in alto nei risultati di Google. Gli hacker hanno utilizzato questi trucchi anche su un canale YouTube con video sulle merci, o software piratato.

SEO Poisoning fornisce il malware BATLOADER

Per quanto riguarda l'attuale campagna di malware BATLOADER, gli hacker hanno utilizzato "installazione gratuita di app di produttività" o "installazione gratuita di strumenti di sviluppo software" come parole chiave SEO per indurre le vittime a visitare siti Web compromessi e a scaricare un programma di installazione dannoso, contenente software legittimo in bundle con il malware. Va notato che il malware BATLOADER viene eliminato ed eseguito durante il processo di installazione del software.

Secondo il rapporto di Mandiant, "questo compromesso iniziale di BATLOADER è stato l'inizio di una catena di infezione a più stadi che fornisce agli aggressori un punto d'appoggio all'interno dell'organizzazione bersaglio". Gli attori delle minacce hanno anche utilizzato strumenti legittimi come PowerShell, Msiexec.exe, e Mshta.exe per evitare il rilevamento da parte dei fornitori di sicurezza.

Uno degli elementi dell'attacco assomiglia l'exploit CVE-2020-1599, un grave bug in Google Chrome segnalato l'anno scorso:

Un esempio notevole trovato nella catena di attacco era un file denominato, "AppResolver.dll". Questo esempio di DLL è un componente interno del sistema operativo Microsoft Windows sviluppato da Microsoft, ma con VBScript dannoso incorporato all'interno in modo che la firma del codice rimanga valida. L'esempio DLL non esegue il VBScript quando viene eseguito da solo. Ma quando eseguito con Mshta.exe, Mshta.exe individua ed esegue VBScript senza problemi.
Questo problema ricorda molto da vicino CVE-2020-1599, La firma PE Authenticode rimane valida dopo l'aggiunta di script supportati da HTA firmati da qualsiasi sviluppatore di software. Questi poliglotti PE+HTA (.file hta) può essere sfruttato tramite Mshta.exe per aggirare le soluzioni di sicurezza che si basano sulla firma del codice di Microsoft Windows per decidere se i file sono attendibili. Questo problema è stato corretto come CVE-2020-1599.

Puoi leggere di più sulla versatile catena di infezione in il report originale.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo