勒索团伙通常只攻击大中型企业数百万美元,因为普通个人不愿意支付大额赎金。但近年来,勒索软件已经下沉“内卷”趋势开始收获中小企业甚至个人用户,交付方式也发生了变化。
最近,研究人员发现了两种可能性REvil或者勒索软件团伙SolarMarker使用后门相关攻击活动SEO投毒方法为目标提供有效载荷。调查显示,一个REvil加盟团伙进行了大规模攻击,感染了普通消费者和小企业。与几百万美元的赎金金额不同,该团伙要求的赎金金额仅为1500~7500美元,虽然不确定该团伙是否利用了SEO投毒攻击,但这类攻击符合他们对任何类型受害者的攻击特征。
SEO投毒,毒“搜索毒化”,是一种通过“黑帽”SEO为了达到在搜索引擎结果中排名更高的目的,技术优化网站。
登录这些网站的受害者往往认为它们是合法的,而攻击者则抓住机会收获大量搜索特定关键字的访问者。
勒索软件的SEO
根据Menlo恶意软件分发者的调查结果SEO投毒攻击呈上升趋势,其中Gootloader和SolarMarket这两个恶意软件需要特别注意。
攻击者通过上述恶意软件将涵盖2000多个独特搜索词的关键词注入搜索网站,如“运动精神”、“工业卫生检测”、“职业发展评估测试”等待受害者搜索相应的关键词后,搜索结果会显示一些PDF访问时会提示用户下载文件,如下所示:
点击下载按钮后,受害者将被重定向到一系列最终恶意负载的网站。攻击者避免因托管恶意内容而从搜索结果中删除该网站。
利用WordPress插件漏洞
在研究人员发现的另外两项活动中,攻击者没有创建自己的恶意网站,而是入侵了谷歌搜索排名最高的法律WordPress网站。
攻击者利用这些合法网站“Formidable Forms”WordPress一些攻击者还恶意攻击插件中的一个未公开的漏洞PDF上传到“/wp-content/uploads/formidable/”的文件夹中。据了解,5.0.07该版本是该插件发现的最新版本。如果用户正在使用此特定插件,建议尽快升级到5.0.10或更高版本。
下表显示了上述网站类型中感染的垂直行业:
从上图可以看出,攻击者主要针对商业,NGO、医疗、电子商务、教育等行业的网站通常以指南和报告的形式托管PDF。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章