一般而言,安全企业在研究一个恶意程序的属性时,都会分析它的入侵与传播的途径,而安全企业Sophos近日则发现,控制REvil勒索软件与金融木马Gootkit的黑客集团滥用了Google搜索引擎优化(Search Engine Optimization,SEO)机制来诱导用户下载Gootloader,进而于用户系统上植入恶意程序。
SEO可借由了解搜索引擎的运行规则来调整网站,以提高网站于搜索引擎结果上的排行。REvil黑客的做法是先入侵众多的合法网站,于网站上植入恶意程序代码,不管用户于Google上输入什么搜索字符串,这些网站都会出现与搜索字符串一模一样的内容,因此便会出现在搜索结果的上方。
研究人员估计,至少有400个合法网站遭黑客植入恶意程序代码,而且它们并不知道自己沦为黑客感染用户的跳板。此外,它们的网站定位可能与用户输入的内容毫无关联,例如当用户查询“卖房子时需要附上界墙协议吗?”出现在该搜索结果页面之首的却是医疗网站。
当用户点击网站连接后,出现的是一个论坛式的页面,会再度出现“卖房子时需要附上界墙协议吗?”但这次是一个可供下载的ZIP文件,下载并解压缩后,则是一个JavaScript文件,执行后便会安装Gootloader。
黑客于网站上植入的恶意程序还会筛选攻击目标,例如只有在遇到来自北美、德国、法国与韩国的用户时,才会跳出论坛页面与恶意的ZIP文件,否则便是简单地呈现一个无害的网页。
至于Gootloader在用户系统上扮演的则是传播的角色,它会与黑客所创建的C&C服务器通信,进而下载其它的恶意程序。
迄今研究人员仍无法判断黑客是如何入侵这些合法网站的,可能是通过恶意程序或是黑市取得这些网站的登录凭证,也可能是开采了合法网站所使用的内容管理系统(CMS)/插件程序的安全漏洞。其中,有不少被黑网站都采用了同一个知名的内容管理系统,只是Sophos并未公布其品牌名称。