This post is also available in: Português Español
Ciberdelincuentes se aprovechan de los sitios web para posicionarse mejor en los motores de búsqueda antes de instalar malwares. La clave de esta nueva técnica radica en conseguir que la víctima se posicione mejor en Google.
Puede que muchos ciberdelincuentes ni siquiera conozcan el término «lobo disfrazado de piel de cordero», sin embargo, eso es exactamente lo que hacen en algunos de sus métodos. Recientemente, han utilizado técnicas de Optimización de Motores de Búsqueda (SEO) para implantar cargas de malware, intentando llegar al mayor número de víctimas posibles.
La verdad es que, el llamado método de «des-optimización» de motores de búsqueda incluye trucos de SEO y de psicología para mejorar, en las buscas de Google, el ranking de sitios web que están comprometidos.
Por sí sola, la optimización SEO es legítima, y muy bien acogida. Se utiliza para aumentar la exposición de un sitio web en los motores de búsqueda de Google o Bing. La cuestión es que ahora muchos estafadores están manipulando los sistemas de gestión de contenidos (CMS) de sitios web para implementar malwares, herramientas y ransomwares.
La técnica es apodada como Gootloader, y consiste en desplegar el marco de infección del troyano de acceso remoto (RAT) Gootkit, que también ofrece una variedad de otras cargas útiles de malware.
Complejo y mortal
Utilizar el SEO como técnica para desplegar el RAT Gootkit no es una operación menor. Los investigadores calculan que se necesita una red de al menos 400 servidores que funcionen las 24 horas del día.
Aunque no se sepa si un exploit en concreto es usado para comprometer estos dominios, los investigadores dicen que los CMSs que ejecutan el back-end de sitios web pueden haber sido secuestrados por un malware, credenciales robadas o ataques de fuerza bruta.
Una vez obtenido el acceso, algunas líneas de código se insertan en el cuerpo del contenido del sitio. Allí, se realizan algunas revisiones para determinar si la víctima es realmente de interés – por ejemplo, en función de su IP y ubicación – comprobando qué consultas originadas en la búsqueda de Google son las más aceptadas.
Los sitios web comprometidos por Gootloader son manipulados para responder a consultas de búsqueda específicas. En estos sitios se utilizan mucho los tableros de mensajes falsos, en el que se realizan sutiles modificaciones para reescribir la forma en que se presenta el contenido del sitio a determinados visitantes.
Si da resultado, el código malicioso en ejecución rediseña la página para dar al visitante la apariencia de que se ha encontrado con un tablero de mensajes, o área de comentarios, donde los usuarios están discutiendo el mismo tema que él buscó.
Allí, se mostrará un mensaje falso del foro que contiene una aparente respuesta a la consulta, así como un enlace de descarga directa. En un ejemplo proporcionado por la multinacional Sophos, el sitio web de una clínica neonatal fue hackeado y mostró respuestas falsas a preguntas relacionadas con el sector inmobiliario.
Las víctimas que hacían clic en los enlaces de descarga recibían un archivo Zip con un nombre relacionado con el término buscado, con un archivo js. Si el js fuese ejecutado, el código oculto es desencriptado para “llamar” a otras cargas maliciosas.
Un bonito disfraz
Esta técnica se está utilizando para propagar el troyano bancario Gootkit, Kronos, Cobalt Strike y el ransomware REvil, entre otros malwares. Sea cual sea el caso, puede ser difícil evitar la infección, pero no imposible.
El problema es que incluso personas entrenadas pueden ser engañadas por la cadena de trucos de ingeniería social que utilizan los creadores de Gootloader. Bloqueadores de script, como NoScript de Firefox, puede ayudar a que el sistema sea más seguro, impedir que se produzca la sustitución inicial de la página hackeada. Sin embargo, no todo el mundo utiliza herramientas como esas, utilizadas principalmente por usuarios más concienzudos.
Por eso, es cada vez más importante enseñar a los empleados a identificar riesgos potenciales. Si aún cuando los trabajadores saben de esto, están a la merced del Gootloader, trabajadores con menos conocimiento pueden caer con más frecuencia en estas trampas y comprometer a toda la empresa.
This post is also available in: Português Español