勒索团伙通常只针对大中型企业进行数百万美元的勒索攻击,因为普通个人不愿意支付大笔赎金。然而,近年来,勒索病毒有下沉、“卷入”的趋势。它已经开始收割中小企业甚至个人用户,其投放方式也随之发生变化。最近,研究人员发现两个可能与REvil勒索软件团伙或SolarMarker后门有关的活动使用SEO中毒方法向目标传递有效载荷。调查显示,一个REvil附属团伙进行了大规模攻击,以感染普通消费者和小型企业。与数百万美元的赎金金额不同,该团伙索要的赎金金额仅为1500-7500美元,虽然无法确定该团伙是否利用了SEO中毒攻击,但这种攻击符合他们不针对的特征任何类型的受害者。SEO投毒,又称“搜索投毒”,是一种利用“黑帽”SEO技术对网站进行优化以在搜索引擎结果中获得更高排名的攻击方式。登陆这些网站的受害者往往会因为搜索排名高而认为自己是合法的,而攻击者则利用这个机会收割大量搜索特定关键词的访问者。勒索SEO根据Menlo安全团队的调查结果,恶意软件传播者的SEO中毒攻击呈上升趋势,其中Gootloader和SolarMarket两款恶意软件需要特别关注。攻击者通过上述恶意软件在搜索网站上注入了涵盖“体育精神”、“工业卫生测试”、“职业发展评估测试”等2000多个独特搜索词的关键词。受害者搜索相应的关键字后,搜索结果会显示一些PDF文件,用户在访问时会提示下载该文档,如下图:点击下载按钮后,受害者会被重定向到一个系列最终提供恶意有效负载网站的网站。攻击者使用这些重定向来避免站点因托管恶意内容而从搜索结果中删除。在另外两个利用WordPress插件漏洞的活动中,攻击者并没有创建自己的恶意网站,而是破坏了在Google搜索中排名靠前的合法WordPress网站。攻击者利用这些合法站点的“FormidableForms”WordPress插件中的一个未公开漏洞,一些攻击者还将恶意PDF上传到“/wp-content/uploads/formidable/”文件夹。据我们所知,版本5.0.07是该插件集合中发现的最新受感染版本。如果有用户正在使用此特定插件,建议尽快升级到5.0.10或更高版本。下表为上述受感染网站类型涉及的垂直行业:从上图可以看出,攻击者主要针对商业、NGO、医疗、电子商务、教育等行业的网站,可能是因为他们的PDF通常以指南和报告的形式托管。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
