Cybersäkerhetsbloggen | Inuit WithSecure

SEO poisoning på rekordnivå

Skriven av Cybersecurity Team | 2023-02-08 14:08

Search Engine Optimization (SEO) poisoning har ökat kraftigt i början av året och är nu på en rekordhög nivå. SEO poisoning (även kallad search poisoning) är en teknik för spridning av skadlig kod som innebär att skadliga webbplatser rankas eller annonseras i Googles sökresultat.

Den uppsjö av stammar av skadlig kod som använder Googles sökresultat som en leveransmekanism inkluderar:

  • Gootkit
  • Gootloader
  • IcedID
  • BATLOADARE
  • PrivateLoader
  • NullMixer
  • RedLine infostealer
  • Rhadamanthys stealer
  • VIDAR stealer
  • Yellow Cockatooo’S RAT
  • VagusRAT

Tekniken innefattar att använda specifika SEO-sökord som resulterar i att hotaktörers skadliga webbplatser stiger till toppen av Googles sökresultat, alternativt att hotaktörer betalar Google för att placeras sig i toppsektionen "Annons", något som har bevittnats vid ett flertal tillfällen.

Det finns en viss frustration över Googles svarstid när det gäller att komma åt problemet och framgången för sådana kampanjer kan tyda på en fortsättning av aktörer som använder denna teknik, åtminstone på kort sikt.

Video om SEO poisoning

I denna video [3:23 min] får du en bra förståelse för SEO poisoning, vad det är, hur det utvecklats över tid och vilka som ligger bakom. Klippet är hämtat från vår webcast Aktuella cyberhot mot Sveriges organisationer vars inspelning du kan se i sin helhet.

Insikter från WithSecure

Missbruk av Googles sökresultat för att dirigera offer till skadliga webbplatser med skadlig kod är något som har förekommit under lång tid. Tyvärr verkar det som om den här tekniken har vuxit till att vara den föredragna leveransmekanismen för många aktörer och detta beror troligen på att:

  • Det är icke-tekniskt och därför lätt att använda
  • Det är billigare än ett nätverk för skräppostleverans
  • Det är mycket vanligt att människor söker efter webbplatser/programvaror och klickar på det första resultatet istället för att ange hela adressen i deras webbläsare
  • Genom att imitera högprofilerade varumärken eller typosquating kan hotaktörer lättare övertyga offren
  • Google verkar vara långsammare att svara på förfrågningar för borttagning än automatisk skräppostfiltrering, vilket tillåter skadlig sökresultat att visas under en längre tid
  • Bra användning av e-postfiltrering/regler och utbildning kring nätfiske- har hämmat effektiviteten av spamkampanjer

Det bästa sättet att bekämpa denna teknik är lämplig användarutbildning och utbildning kring användningen av sökmotorer och att ha lämpliga säkerhetsprodukter på plats som kan upptäcka skadlig aktivitet i webbläsaren.

Detta var en av ämnena som togs upp i January Threat Highlight Report som du kan ta del av i sin helhet.

Kommentarer