骇客先对合法网站下手,再对浏览网站的使用者发动攻击的情况,过往陆续传出这类事故,但类似的攻击出现新的手法:攻击者先在合法网站植入恶意程式,从而影响搜寻引擎的结果,将上网搜寻的使用者导向骇客的恶意网站。资安业者趋势科技指出,这样的威胁有越来越严重的趋势,截至目前为止,他们已看到6组人马从事相关攻击,甚至有共用部分基础设施的情况。
【攻击与威胁】
资安业者趋势科技与日本警界、学界、资安学界联手调查,他们要缉捕透过搜寻引擎最佳化(SEO)散布的恶意软体家族,此次公私协防对象涵盖香川大学、神奈川县警察总部、千叶县警察总部、日本网路犯罪控制中心(JC3)等多个组织,并指出骇客疑似彼此共用基础设施,从而尽可能提高搜寻引擎最佳化下毒(SEO Poisoning)攻击的成功机率。
根据上述机构的观察,最近几年冒牌电子商务网站数量暴增,2023年JC3获报的网站数量有47,278个,相较于2022年的28,818个,多出超过六成。攻击者先对合法网站下手,植入SEO恶意软体,而这些软体会影响搜寻引擎的查询结果,导致使用者搜寻会看到骇客广告的内容,并被引导到冒牌电子商务网站。
他们后续总共找出6个SEO恶意软体家族进行调查,分析227,828个假电子商务网站、1,242个C2伺服器,结果发现,其中有3组人马仅使用单一、专属的恶意软体犯案,但有1组人马相当不同,因为他们同时运用多种恶意软体家族,从事攻击行动。
在散布恶意软体的手法当中,搜寻引擎最佳化下毒(SEO Poisoning)可说是相当常见,通常攻击者会假借提供常见的应用程式及游戏,或是破解软体、盗版软体的名义,引诱Google搜寻的使用者上当,但如今,有人专门针对喜好特定动物的人士而来。
资安业者Sophos揭露最新一波恶意程式GootLoader的攻击行动,本来攻击者就会透过搜寻引擎最佳化中毒的手法,来取得受害电脑的初始入侵管道,这次也不例外,但这波攻击有所不同,骇客锁定的对象,竟是询问在澳洲养孟加拉猫是否合法的使用者。这种专门针对特定地区爱猫人士的情况,其实并不常见。
根据研究人员的调查,3月底他们在MDR用户环境当中,察觉新的GootLoader变种开始积极活动的迹象,循线调查发现,攻击者透过搜寻引擎最佳化中毒手法,借由Google搜寻将使用者导向特定网路论坛,而使用者询问的问题,是有关在澳洲养孟加拉猫是否需要执照(Do you need a license to own a Bengal cat in Australia),一旦他们执行搜寻,检索结果列出的第一项网址,就是骇客放置的恶意广告。
近期新的窃资软体(Infostealer)不断出现,并采取多阶段攻击的手段,而能够绕过视窗作业系统及端点防护软体的侦测,并挖掘各式机敏资料,传送给攻击者。
例如,今年5月资安业者Trellix发现的Fickle Stealer,就是典型的例子。这款恶意程式以Rust打造而成,攻击者透过多种媒介进行散布,从而在浏览器及多种应用程式收集帐密资料、上网记录、信用卡资料等个资,特别的是,该恶意软体透过PowerShell指令码绕过使用者帐户控制(UAC),并具备能回避防毒软体侦测的机制,甚至能在东窗事发后显示错误讯息掩饰,并自我删除。
值得一提的是,骇客将其伪装成Windows版GitHub应用程式,并带有无效签章。他们使用GitHub, Inc的名义进行签章,而第二签章则是署名为Microsoft Public RSA Time Stamping Authority,攻击者这么做的目的,显然是企图让此恶意程式的来源看起来合法。