Los ataques de envenenamiento de Search engine optimisation aumentarán en 2023


Un nuevo informe de investigación de SentinelOne expone una campaña de ataque de envenenamiento de Website positioning que secuestra nombres de marcas en anuncios de búsqueda pagados.

Un usuario descubre malware entregado a través de SEO envenenado.
Imagen: SizeSquare’s/Adobe Stock

SentinelOne tiene reportado un aumento en los anuncios de motores de búsqueda maliciosos en las últimas semanas. Los investigadores explican que los atacantes que utilizan el envenenamiento de optimización de motores de búsqueda generalmente tienen más éxito «cuando envenenan los resultados de descargas populares asociadas con organizaciones que no tienen amplios recursos internos de protección de marca».

Salta a:

¿Qué es un ataque de envenenamiento de Search engine optimization?

Los ataques de envenenamiento de Search engine marketing consisten en alterar los resultados de los motores de búsqueda para que los primeros enlaces anunciados realmente conduzcan a sitios controlados por el atacante, generalmente para infectar a los visitantes con malware o para atraer a más personas al fraude publicitario. SentinelOne proporcionó un ejemplo de una campaña reciente de envenenamiento de Search engine optimization en su informe.

VER: Política de seguridad de dispositivos móviles (High quality de TechRepublic)

La campaña de envenenamiento Search engine marketing 3D de Blender

Una búsqueda de rutina en el motor de búsqueda de Google para el nombre de la marca licuadora modelo 3dun program de diseño de gráficos 3D de código abierto, proporcionó los siguientes resultados el 18 de enero de 2023 (Figura A):

Figura A

Los resultados del motor de búsqueda de Google muestran tres anuncios fraudulentos al buscar Blender 3D.
Imagen: SentinelOne. Los resultados del motor de búsqueda de Google muestran tres anuncios fraudulentos al buscar Blender 3D.

Un usuario que no lea la URL detenidamente o que no esté seguro de la URL exacta del application podría hacer clic en cualquiera de esos dominios controlados por el atacante, lo que podría resultar en un compromiso.

El resultado top-quality malicioso blender-s.org es una copia casi exacta del sitio net legítimo de Blender, pero el enlace de descarga no conduce a una descarga en blender.org sino a una URL de DropBox que entrega un archivo blender.zip.

El segundo sitio internet malicioso en blenders.org es very similar: muestra una copia casi perfecta del sitio net legítimo de Blender, pero el enlace de descarga conduce a otra URL de DropBox, que también entrega un archivo blender.zip.

El tercer y último sitio internet malicioso también es una copia del legítimo, pero proporciona una URL de Discord y entrega un archivo llamado blender-3.4.1-home windows-x64.zip.

Las cargas útiles de envenenamiento de Search engine optimization

Los archivos zip que se descargan de Dropbox contienen archivos ejecutables. El primero inmediatamente levanta sospechas ya que muestra un certificado no válido de AVG Systems United states of america, LLC (Figura B) que ya se ha observado como utilizado por otro malware, incluido el infame Racoon Stealer.

Figura B

Certificado no válido utilizado por el ejecutable malicioso.
Certificado no válido utilizado por el ejecutable malicioso.

También vale la pena mencionar que el archivo zip tiene un tamaño inferior a 2 MB, pero el archivo ejecutable extraído de él está cerca de los 500 MB. Este es probablemente un intento de eludir algunas soluciones de seguridad que no analizan archivos tan grandes.

De acuerdo a VirusTotalel malware podría ser el malware Vidar (Figura C), un ladrón de información con la capacidad de robar información financiera, contraseñas e historial de navegación de navegadores, administradores de contraseñas y billeteras de criptomonedas.

Figura C

El archivo zip contiene malware Vidar con un servidor C2 identificado.
Imagen: VirusTotal. El archivo zip contiene malware Vidar con un servidor C2 identificado.

El segundo archivo zip, desconocido para VirusTotal, podría ser related, ya que el archivo zip tiene el mismo tamaño y se creó cinco minutos después que el primero. El archivo last, descargado de Discord, contiene un archivo ISO que probablemente también sea malicioso.

Ampliación de la superficie de ataque

Según los investigadores de SentinelOne, el actor de amenazas detrás de los dos primeros sitios internet maliciosos también es responsable de docenas de otros sitios internet similares, siempre haciéndose pasar por program well-known como Photoshop o software program de acceso remoto.

Todos esos sitios web fueron rápidamente bloqueados por CloudFlare, cuyos servicios fueron utilizados por los ciberdelincuentes. A cualquier usuario que intente conectarse a los sitios internet fraudulentos ahora se le muestra una página de advertencia de CloudFlare que menciona su naturaleza de phishing.

Cómo mitigar esta amenaza y proteger la reputación de su empresa

Como se mencionó, los atacantes de envenenamiento de Web optimization generalmente eligen hacerse pasar por productos o marcas populares para ejecutar sus operaciones maliciosas. Esto tiene un gran impacto en los usuarios, ya que podrían verse comprometidos por malware, lo que puede provocar el robo de datos. Sin embargo, también tiene un gran impacto en las empresas, ya que el usuario medio muchas veces no entiende este tipo de fraude y al last piensa que la verdadera marca es la responsable.

Las empresas con productos o marcas muy populares deben tener cuidado con sus marcas e implementar soluciones de seguridad para ayudarlas a detectar dicho fraude antes de que sea demasiado tarde.

Para empezar, las organizaciones deben revisar cuidadosamente cada nuevo dominio que se registre en Net que contenga similitudes con alguna de sus marcas o nombres. Como los estafadores suelen registrar nombres de dominio muy similares a los legítimos, es posible detectarlos en 48 horas en la mayoría de los casos, analizar inmediatamente la situación y tomar medidas para mitigar el riesgo.

Las empresas pueden trabajar en el aspecto authorized para que se les transfieran los dominios fraudulentos cuando puedan justificar que existe una infracción de marca registrada, pero eso puede llevar un tiempo. Mientras tanto, si aparece algún contenido fraudulento en el dominio fraudulento, es posible que deseen cerrarlo poniéndose en contacto con la empresa de alojamiento, el registrador o el proveedor de DNS para que el fraude sea inalcanzable.

Finalmente, las empresas pueden registrar de manera preventiva diferentes variantes de sus nombres de dominio legítimos para que los estafadores no puedan hacerlo. Sin embargo, este método requiere energía y dinero, y es posible que no todas las empresas quieran seguir este camino.

Divulgación: Trabajo para Craze Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia unique