Hanya masalah waktu sebelum penjahat cyber mengalihkan perhatian mereka ke salah satu aktivitas paling umum di internet -Google search, yang merupakan trik baru untuk menjerat korban. Trik terbaru adalah menggunakan istilah pencarian ekor panjang dan juga situs web yang sah untuk memberikan trojan akses jarak jauh Gootkit.
Iterasi terbaru dari Gootkit RAT ini menggunakan “teknik pengoptimalan mesin pencari berbahaya untuk menggeliat ke hasil pencarian Google”. Seperti yang tergambarkan analis Sophos dalam posting blog.
Perusahaan keamanan siber melaporkan bahwa para penjahat menggunakan variasi baru ini yang mereka sebut Gootloader untuk mengirimkan muatan malware di Amerika Utara, Korea Selatan, Jerman, dan Prancis.
Penelitian Sophos menemukan bahwa trik baru penjahat cyber tidak menargetkan mesin pencari lain yang sering atau yang sukses. Chris Rodgers, CEO dan pendiri Colorado SEO Pros, mengatakan bahwa taktik baru ini menggunakan Google sebagai gateway dan pengetahuan SEO, terutama tentang pencarian ekor panjang.
“Mereka harus masuk dan menemukan topik yang persaingan rendah dan volume pencarian yang rendah. Dan mereka harus melakukan ini pada volume besar untuk itu menjadi menguntungkan,” katanya.
Peretas tampaknya mendapatkan kontrol melalui sistem manajemen konten seperti WordPress dan melalui plugin.
“Itu adalah pintu yang pasti dan dari sana mampu menciptakan bentuk-bentuk palsu ini,” katanya. “Ini cukup kreatif seperti hal-hal peretasan teduh berjalan.”
Gaurav Banga, pendiri dan CEO perusahaan keamanan siber Balbix, mengatakan bahwa dengan malware Gootloader baru-baru ini.
Trik baru penjahat cyber mengelabuhi korban
Aktor jahat adalah “SEO poisoning” dengan mengorbankan situs web yang sah dan perdagangan dengan mengakses situs back-end. Mengedit konten untuk meningkatkan SEO, dan menambahkan file ZIP bernama diam-diam yang berisi malware yang kemudian diunduh pengunjung situs web.
“Cara termudah untuk menyebarkan malware SEO adalah melalui sistem yang terkompromikan pengguna admin,” katanya.
Pelaku buruk yang menggunakan teknik ini sedang memeriksa URL rujukan untuk memastikannya dari Google, bukan pemilik bisnis atau karyawan.
“Jika Anda mampu menarik data kueri, Anda dapat menargetkan orang-orang yang menelusuri nama merek,” katanya.
Rodgers mengatakan para peretas menggunakan halaman dari JavaScript dan mengoptimalkan berbagai elemen halaman seperti tag judul. Dia juga mengatakan para aktor jahat bisa menggunakan kecerdasan buatan untuk menulis konten untuk halaman-halaman ini.
“Mereka memilih situs yang memiliki banyak otoritas dan mengoptimalkan bahkan sampai ke nama file,” katanya.
Rodgers mengatakan halaman-halaman ini mendapatkan lulus gratis dari Google dan bahwa pemilik situs web akan harus meningkatkan keamanan WordPress dan memiliki rencana respons yang siap jika situs web turun.
“Pastikan bahwa situs WordPress Anda up to date, pastikan Anda memiliki semacam firewall, dan lakukan audit plug in,” katanya.
Dia juga mengatakan bahwa kecerdasan buatan telah memiliki dampak besar pada SEO. Dan bahwa alat baru Google yang didukung AI telah menghapus sebagian besar peluang untuk mempengaruhi hasil pencarian.
Banga di Balbix mengatakan bahwa mencegah serangan ini juga membutuhkan tim infosec untuk memiliki visibilitas real-time ke dalam kebersihan keamanan siber situs web yang menghadap internet.
Sistem pekerja jarak jauh dan server yang menghadap internet. Visibilitas ini memastikan perlindungan, deteksi, dan penahanan.
“Saya juga percaya bahwa satu-satunya cara untuk mengatasi serangan yang semakin canggih. Ini adalah melalui kesadaran diri keamanan siber dengan memanfaatkan otomatisasi untuk memprediksi risiko bisnis.
Menciptakan cara yang dapat ditinz tindakan untuk masalah kritis, dan mendorong peningkatan berkelanjutan di sekitar postur keamanan siber,” katanya.
Untuk memperkuat pertahanan karyawan terhadap malware. Tim IT harus memastikan browser ditambal dan bahwa aplikasi eksternal seperti PowerShell tidak memiliki kebijakan yang tidak terbatas.
Analisis Sophos Gootloader
Analis keamanan siber Gabor Szappanos dan Andrew Brandt di Sophos menerbitkan ulasan terperinci tentang cara kerja Gootloader. Sebagaimana catatan para analis, keluarga malware Gootkit telah aktif selama beberapa tahun. Perkembangan baru dalam metode pengirimannya, yang berjasa pada nama baru untuk menggambarkan perubahan ini.
Metode pengiriman baru ini sangat bergantung pada teknologi seperti psikologi manusia, kata para analis dalam posting blog.
Aktor jahat meretas situs web yang sah dan menambahkan halaman dengan konten yang tidak terkait. Analisis Sophos menggunakan contoh situs web untuk praktik medis yang juga teretas untuk meng-host halaman tentang kontrak real estat.
Halaman berbahaya mengambil bentuk utas diskusi yang menampilkan pertanyaan yang sangat spesifik. Dalam contoh Sophos pertanyaannya adalah, “Apakah saya juga perlu perjanjian dinding partai untuk menjual rumah saya,” yang berbunyi seperti kueri pencarian.
Balasan ke kueri menyertakan link unduhan langsung ke file arsip zip dengan nama file yang cocok dengan kueri pencarian. Seperti yang dijelaskan oleh analis Sophos:
“File .js ini adalah infector awal, dan satu-satunya tahap infeksi di mana file berbahaya tertulis ke sistem berkas. Segala sesuatu yang terjadi setelah target mengklik ganda skrip ini berjalan sepenuhnya dalam memori. Di luar jangkauan alat perlindungan titik akhir tradisional.”
Para peneliti menjelaskan mekanisme serangan, termasuk elemen spesifik lokasi.
Para analis juga mencatat bahwa banyak situs yang teretas menggunakan “sistem manajemen konten terkenal” yang termodifikasi oleh aktor ancaman. Untuk mengubah bagaimana situs web tersajikan kepada pengguna tertentu. Tergantung pada bagaimana mereka tiba di situs yang terinfeksi.