Si chiama Gootloader la nuova campagna di diffusione malware che sfrutta le attività lecite dei Search Engine Optimization (SEO) per alterare il posizionamento dei siti Web su Google e sugli altri motori di ricerca inducendoli a visualizzare risultati malevoli che espongono milioni di utenti in tutto il mondo al rischio di infezione.
I test eseguiti da ricercatori Sophos che hanno isolato la campagna di attacco indicherebbero Google come il motore di ricerca più suscettibile a questa campagna in atto.
Indice degli argomenti
L’evoluzione del malware Gootloader
Gootloader è un tool malware basato su Javascript già noto e utilizzato in precedenza per la distribuzione del RAT (Remote Access Trojan) Gootkit e che ora, secondo l’ultima ricerca Sophos, si sarebbe evoluto in un sofisticato loader framework capace di ampliare la distribuzione di payload appartenenti a diversi ceppi malware riconducibili al trojan Kronos, l’infostealer Cobalt Strike e probabilmente anche al ransomware REvil.
Inoltre, alcune evidenze nei campioni payload rilevati farebbero ragionevolmente pensare che per il momento la campagna sarebbe indirizzata solo agli utenti dell’America del Nord, Germania, Francia e Corea del Sud.
La tecnica dell’avvelenamento SEO
L’avvelenamento da ottimizzazione dei motori di ricerca (SEO Poisoning) oltre che essere un’attività impiegata illecitamente per ottenere un posizionamento elevato nei motori di ricerca, può essere impiegato anche, sfruttando le vulnerabilità di siti web esistenti, per raggiungere in modo rapido e semplice più target possibili e diffondere malware.
Uno dei trucchi più comuni utili allo scopo è la creazione di script in grado di riconoscere, leggendo la stringa “user-agent” delle intestazioni dei comandi GET o il “referer” HTTP, se il sito web è visitato da un crawler del motore di ricerca oppure da un utente reale e offrire di conseguenza in risposta una pagina web verosimile e differente.
Nella fattispecie, qualora la pagina venisse visitata da un utente, verrebbero offerti contenuti malevoli utilizzando Javascript e/o reindirizzamenti.
La nuova campagna Gootloader, grazie ad un avvelenamento SEO di questo tipo, come detto, sarebbe in grado di ingannare maggiormente i crawler di Google, secondo un processo di attacco suddiviso in più fasi.
I dettagli della campagna di attacco Gootloader
Secondo i ricercatori, gli attori della minaccia sarebbero riusciti a compromettere e controllare un cospicuo numero di siti web legittimi, molto probabilmente guadagnando l’accesso al file manager degli stessi, sfruttando degli exploit di sicurezza nei plug-in dei CMS oppure reperendo le relative credenziali dallo smercio nei mercati Darknet.
Una volta ottenuto un accesso abusivo, ciò che gli attaccanti usualmente fanno è inserire nel corpo delle pagine web:
- delle precise keyword SEO riuscendo a posizionare i siti web compromessi in testa agli indici di ricerca per attirare gli utenti ignari: spesso si seguono termini di ricerca di tendenza e contestualizzati a situazioni e eventi contemporanei;
- dei link che avviano immediatamente la catena d’attacco, iniettando alcune righe di codice aggiuntive tramite i tag <script></script> del linguaggio HTML.
Il test eseguito da Sophos
Sophos ha mostrato con un esempio cosa potrebbe accadere ad una potenziale vittima. Nella ricostruzione, un utente fa una ricerca specifica su Google e la relativa query restituisce come primo risultato una URL relativa ad un sito con attività legittime che però, in realtà, nulla ha a che fare con l’oggetto ricercato (trattasi di uno dei siti web compromessi).
Quando il visitatore fa clic sul collegamento proposto, infatti, viene indirizzato su di una pagina generata al momento e riproducente un blog/forum specifico che sembra fornire una risposta calzante alla domanda formulata durante la query di ricerca.
La pagina in questione include quello che sembra essere un post autorevole di un amministratore del sito e propina il download di un documento (un file d’archivio in formato ZIP) che presumibilmente dovrebbe fornire la risposta alla domanda posta dai termini di ricerca.
L’archivio .zip, in realtà il payload iniziale di Gootloader, contiene un file con estensione .js, avente lo stesso nome ed è responsabile dell’avvio dell’infezione. Questo script iniziale, essendo l’unico componente a venire effettivamente scritto nel filesystem del dispositivo target e anche l’unico esposto ai metodi di scansione antivirus convenzionali, presenta per tale motivo, secondo i ricercatori, diversi livelli di offuscamento.
Soluzioni di mitigazione del rischio
Per ulteriori dettagli relativi alla campagna in esame (stadi d’infezione, IoC e regola Yara), si raccomanda il consulto del report integrale pubblicato da Sophos.
Alle aziende, inoltre, si consigliano anche le seguenti best practice come mezzi di difesa proattive:
- istruire gli utenti a non visitare siti web sconosciuti, prestando sempre attenzione agli indirizzi URL dati in risposta dai motori di ricerca;
- adottare soluzioni di sicurezza, come antivirus, firewall e proxy locali;
- mantenere protetti e privi di qualsiasi vulnerabilità, i propri siti e applicazioni web e custodire opportunamente le credenziali di accesso ai relativi pannelli di gestione, preferibilmente cambiando quelle imposte di default;
- segnalare immediatamente al motore di ricerca di riferimento qualsivoglia anomalia, nel posizionamento SEO del proprio sito, riscontrata nei risultati delle query di ricerca;
- assumere l’abitudine di scansionare file e link URL prima di aprirli anche grazie a servizi sandbox online affidabili e aggiornati;
- valutare in generale l’implementazione degli IoC resi noti sui propri apparati di sicurezza.
