Les campagnes REvil et SolarMarker utilisent l’empoisonnement du référencement

  • Français


  • Les experts en cybersécurité de Menlo Labs ont identifié deux campagnes de ransomware qui distribuaient les portes dérobées REvil et SolarMarker sur les réseaux ciblés en utilisant l’empoisonnement du référencement. Les deux campagnes, suivies comme Gootloader et Marqueur Solaire, déploient des portes dérobées ransomware utilisant des techniques d’empoisonnement SEO.

    Qu’est-ce que l’empoisonnement du référencement ?

    L’empoisonnement du référencement, également connu sous le nom d’empoisonnement de la recherche, est une ancienne stratégie d’attaque dans laquelle les acteurs malveillants créent des sites Web malveillants et utilisent différentes techniques de référencement pour les faire apparaître en tête des résultats de recherche. Dans l’empoisonnement du référencement, les attaquants utilisent le bourrage de mots clés, les documents PDF, le texte caché et le masquage pour manipuler les classements de recherche et rediriger les victimes vers des applications indésirables, des sites de phishing, des liens malveillants et des logiciels publicitaires.

    Gootloader et Chaîne d’infection SolarMarker

    Les chercheurs ont déclaré avoir observé plus de 2 000 termes de recherche uniques qui ont conduit à des sites Web malveillants, qui déploient automatiquement des logiciels malveillants sur les appareils des victimes. Les acteurs de la menace injectent aux sites Web malveillants des mots-clés tendance recherchés par les utilisateurs. Les termes/mots clés de recherche les plus utilisés incluent :

    • Exemples-de-la-veste-bleue-du-trimestre
    • Liste de contrôle pour l’enquête sur l’hygiène industrielle
    • 5-niveaux-de-PD-eval
    • Questionnaire de force mentale sportive

    En plus de ces deux campagnes, les chercheurs ont identifié une augmentation des attaques conçues pour contourner les mesures de sécurité traditionnelles en exploitant les bogues des navigateurs Web et des capacités des navigateurs. Les navigateurs compromis sont ensuite utilisés pour diffuser des logiciels malveillants et des ransomwares et voler les informations d’identification des cibles.

    Comment fonctionne l’attaque

    Les acteurs de la menace cachent généralement les logiciels malveillants dans les sites Web qui redirigent les utilisateurs vers les sites Web frauduleux qui hébergent des portes dérobées de logiciels malveillants. Lorsqu’un utilisateur clique sur le lien empoisonné SEO, il redirige vers les documents PDF malveillants et les redirections HTTP, après quoi une charge utile malveillante est téléchargée sur le point de terminaison. Menlo Labs a observé trois tailles de charge utile différentes téléchargées dans cette campagne. La plus petite charge utile était d’environ 70 Mo, tandis que la plus grande était d’environ 123 Mo.

    « Tous les sites compromis hébergeant les fichiers PDF malveillants se sont avérés être des sites WordPress. La plupart des sites étaient des sites bénins qui ont été compromis pour héberger le contenu malveillant. Au cours de notre analyse, nous avons trouvé des sites Web éducatifs et .gov bien connus servant des PDF malveillants. Dans le cadre de notre engagement à garantir un Internet sûr, nous avons informé toutes les parties concernées et ces fichiers PDF malveillants ont été supprimés », ont déclaré les chercheurs.

    Exploiter les plugins WordPress

    Dans les deux campagnes, les attaquants n’ont pas créé de sites Web malveillants, mais ont plutôt compromis des sites WordPress originaux avec de bons classements de recherche Google. Les sites ont été compromis en exploitant une vulnérabilité non divulguée dans le plugin Formidable Forms WordPress de la version 5.0.07. Cependant, la faille est désormais corrigée dans les versions 5.0.10 et ultérieures.

    Conclusion

    La plupart des employés passent un maximum de temps sur les navigateurs Web, à rechercher des informations ou à utiliser des applications. Les nouveaux risques de navigateur, tels que l’empoisonnement du référencement et d’autres manipulations basées sur le référencement, constituent une grave menace pour la sécurité des organisations du monde entier. Il est fortement recommandé de bloquer les téléchargements de fichiers exécutables Windows à partir de sources inconnues.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *