Realice una auditoría de complementos y mejore la visibilidad de los sistemas de los trabajadores remotos para evitar el ataque de Gootloader


Los analistas de seguridad y un experto en Website positioning explican cómo este nuevo enfoque utiliza sitios web legítimos para engañar a los usuarios para que descarguen archivos infectados.

istock-519335916.jpg

concepto de seguridad informática, caballo de Troya en entorno electrónico. Concepto de seguridad informática, caballo de Troya en entorno electrónico.

the-lightwriter, Getty Visuals / iStockphoto

Era solo cuestión de tiempo antes de que los ciberdelincuentes centraran su atención en una de las actividades más comunes en World wide web: una búsqueda en Google. El último truco consiste en utilizar términos de búsqueda de cola larga y sitios world wide web legítimos para entregar el troyano de acceso remoto Gootkit.

Esta última versión de Gootkit RAT utiliza «técnicas maliciosas de optimización de motores de búsqueda para meterse en los resultados de búsqueda de Google, «como lo describen los analistas de Sophos en una publicación de web site. La firma de ciberseguridad informa que los delincuentes están utilizando esta nueva variación que llaman Gootloader para distribuir cargas útiles de malware en América del Norte, Corea del Sur, Alemania y Francia. La investigación de Sophos descubrió que los malos dirigirse a otros motores de búsqueda con la misma frecuencia o éxito.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Chris Rodgers, director ejecutivo y fundador de Colorado Seo Pros, dijo que esta nueva táctica utiliza a Google como puerta de entrada y conocimiento de Search engine marketing, particularmente sobre búsquedas de cola larga.

«Tuvieron que entrar y encontrar temas que sean de baja competencia y bajo volumen de búsqueda y tienen que hacer esto a un volumen masivo para que sea lucrativo», dijo.

Los piratas informáticos parecen estar obteniendo el handle a través de sistemas de gestión de contenido como WordPress y mediante complementos.

«Esa es una puerta definida y desde allí poder crear estas formas falsas», dijo. «Es bastante creativo en lo que respecta a la piratería».

Gaurav Banga, fundador y director ejecutivo de la empresa de ciberseguridad Balbix, dijo que con el reciente malware Gootloader, los malos actores están «envenenando el Web optimization» al comprometer sitios world-wide-web legítimos y con mucho tráfico al acceder al back again-close del sitio, editar contenido para mejorar el Search engine marketing y agregar Archivos ZIP con nombres discretos que contienen el malware que los visitantes del sitio internet descargan.

«La forma más fácil de implementar malware de Search engine marketing es a través del sistema comprometido de un usuario administrador», dijo.

Los malos actores que utilizan esta técnica están comprobando la URL de referencia para asegurarse de que sea de Google, no del propietario de una empresa ni de sus empleados.

«Si pudieras extraer datos de consultas, podrías dirigirte a personas que buscan el nombre de la marca», dijo.

Rodgers dijo que los piratas informáticos están utilizando páginas generadas por JavaScript y optimizando varios elementos de la página, como la etiqueta del título. También dijo que los malos actores podrían estar usando inteligencia artificial para escribir el contenido de estas páginas.

«Están eligiendo sitios que tienen mucha autoridad y optimizando incluso hasta el nombre del archivo», dijo.

Rodgers dijo que estas páginas están recibiendo un pase gratuito de Google y que los propietarios de sitios world-wide-web tendrán que aumentar la seguridad de WordPress y tener un strategy de respuesta listo en caso de que el sitio internet caiga.

«Asegúrese de que su sitio de WordPress esté actualizado, asegúrese de tener algún tipo de firewall y realice una auditoría de plug-in», dijo.

También dijo que la inteligencia synthetic ha tenido un impacto masivo en el Seo y que las nuevas herramientas impulsadas por la inteligencia synthetic de Google han eliminado la mayoría de las oportunidades para influir en los resultados de búsqueda.

Banga en Balbix dijo que la prevención de estos ataques requiere que los equipos de seguridad informática tengan visibilidad en tiempo actual de la higiene de la ciberseguridad de los sitios website con acceso a Online, los sistemas de trabajadores remotos y los servidores con acceso a World wide web. Esta visibilidad asegura protección, detección y contención.

«Creo que la única forma de abordar estos ataques cada vez más sofisticados es a través de la autoconciencia de la seguridad cibernética al aprovechar la automatización para predecir los riesgos comerciales, crear recetas procesables para problemas críticos e impulsar la mejora continua en torno a la postura de la ciberseguridad», dijo.

Para fortalecer las defensas de los empleados contra el malware, los equipos de TI deben asegurarse de que los navegadores estén parcheados y que las aplicaciones externas como PowerShell no tengan políticas ilimitadas.

Análisis de Sophos de Gootloader

Analistas de ciberseguridad Gabor Szappanos y Andrew Brandt de Sophos publicaron una revisión detallada de cómo funciona Gootloader. Como señalan los analistas, la familia de malware Gootkit ha estado activa durante varios años. Los nuevos desarrollos se encuentran en su método de entrega, que ameritó el nuevo nombre para describir estos cambios.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Este nuevo método de entrega se basa tanto en la tecnología como en la psicología humana, dijeron los analistas en la publicación del website. Los delincuentes piratean sitios web legítimos y agregan páginas con contenido no relacionado. El análisis de Sophos utilizó el ejemplo de un sitio internet para una práctica médica que fue pirateado para alojar páginas sobre contratos inmobiliarios. Las páginas maliciosas toman la forma de hilos de discusión que presentan una pregunta muy específica. En el ejemplo de Sophos, la pregunta es: «¿Necesito un acuerdo de pared partidaria para vender mi casa?», Que se lee como una consulta de búsqueda.

Una respuesta a la consulta incluye un enlace de descarga directo a un archivo zip con un nombre de archivo que coincide con la consulta de búsqueda. Como explican los analistas de Sophos:

«Este archivo .js es el infector inicial y la única etapa de la infección en la que se escribe un archivo malicioso en el sistema de archivos. Todo lo que sucede después de que el objetivo hace doble clic en este script se ejecuta completamente en la memoria, fuera del alcance de los sistemas de archivos tradicionales. herramientas de protección de endpoints «.

Los investigadores explican la mecánica del ataque, incluidos los elementos específicos de la ubicación. Los analistas también señalan que muchos de los sitios pirateados utilizan un «sistema de gestión de contenido conocido» que los actores de amenazas modifican para cambiar la forma en que el sitio net se presenta a ciertos usuarios, dependiendo de cómo llegan al sitio infectado.

Ver también



Enlace a la noticia primary