Beveiligingsonderzoekers hebben onlangs een kwaadaardige campagne ontdekt die gebruikmaakt van SEO-vergiftiging om potentiële slachtoffers te misleiden om de BATLOADER-malware te downloaden. De aanvallers die werden gebruikt, maakten kwaadaardige sites vol met trefwoorden van populaire softwareproducten, en gebruikte zoekmachineoptimalisatievergiftiging om ze hoger in de zoekresultaten te laten verschijnen. Mandiant-onderzoekers observeerden ook een slimme ontwijkingstechniek die afhankelijk was van mshta.exe, wat een Windows-eigen hulpprogramma is dat is ontworpen om Microsoft HTML-toepassingsbestanden uit te voeren (HTA).
Nog een recent voorbeeld van malware die SEO-vergiftiging gebruikt om verspreide gebruikers te infecteren de bekende Raccoon infostealer. Deze campagne werd geleverd met voor zoekmachines geoptimaliseerde kwaadaardige sites die hoog scoorden in de Google-resultaten. De hackers gebruikten deze trucs ook op een YouTube-kanaal met video over waren, of illegale software.
SEO-vergiftiging levert de BATLOADER-malware op
Wat betreft de huidige BATLOADER-malwarecampagne, de hackers gebruikten "gratis installatie van productiviteitsapps" of "installatie van gratis softwareontwikkelingstools" als SEO-sleutelwoorden om slachtoffers te misleiden om gecompromitteerde websites te bezoeken en een kwaadaardig installatieprogramma te downloaden, met legitieme software gebundeld met de malware. Opgemerkt moet worden dat de BATLOADER-malware wordt verwijderd en uitgevoerd tijdens het software-installatieproces.
Volgens het rapport van Mandiant, "Dit aanvankelijke BATLOADER-compromis was het begin van een meertraps infectieketen die de aanvallers een voet aan de grond geeft binnen de doelorganisatie." De dreigingsactoren gebruikten ook legitieme tools zoals PowerShell, Msiexec.exe, en Mshta.exe om detectie door beveiligingsleveranciers te voorkomen.
Een van de elementen van de aanval lijkt op de CVE-2020-1599 exploit, een ernstige bug in Google Chrome vorig jaar gemeld:
Een opmerkelijk voorbeeld dat in de aanvalsketen werd gevonden, was een bestand met de naam, “AppResolver.dll”. Dit DLL-voorbeeld is een intern onderdeel van het Microsoft Windows-besturingssysteem ontwikkeld door Microsoft, maar met kwaadaardige VBScript erin ingebed op een manier dat de codehandtekening geldig blijft. Het DLL-voorbeeld voert het VBScript niet uit wanneer het alleen wordt uitgevoerd. Maar wanneer uitgevoerd met Mshta.exe, Mshta.exe lokaliseert en voert het VBScript zonder problemen uit.
Dit probleem lijkt het meest op CVE-2020-1599, PE Authenticode-handtekening blijft geldig na het toevoegen van HTA-ondersteunde scripts die zijn ondertekend door een softwareontwikkelaar. Deze PE+HTA polyglot (.hta-bestanden) kan worden misbruikt via Mshta.exe om beveiligingsoplossingen te omzeilen die afhankelijk zijn van Microsoft Windows-codeondertekening om te bepalen of bestanden worden vertrouwd. Dit probleem is gepatcht als CVE-2020-1599.
Lees meer over de veelzijdige infectieketen in het oorspronkelijke rapport.