Den SEO-Poisoning-Angriff brechen | Wie Angreifer Suchergebnisse kapern

Startseite » Den SEO-Poisoning-Angriff brechen | Wie Angreifer Suchergebnisse kapern
Search Engine Marketing
19/01/202319/01/2023By R.Lindner
Den SEO-Poisoning-Angriff brechen | Wie Angreifer Suchergebnisse kapern

In den letzten Wochen ist eine merkliche Zunahme von schädlicher Suchmaschinenwerbung zu verzeichnen, die in freier Wildbahn gefunden wurde – eine als SEO-Poisoning bekannte Angriffsmethode, die als eine Art von schädlicher Werbung (Malicious Advertising) angesehen werden kann. Branchenkollegen haben diese Aktivität, wie bereits erwähnt, ebenfalls beobachtet vx-Underground diese Woche. Die Art und Weise, wie Malware bereitgestellt wird, wird immer vielfältiger, z. B. die Suchen, die bösartige Anzeigen erzeugen, und die Malware, die bereitgestellt wird.

In der überwiegenden Mehrheit dieser Fälle zielen Angreifer darauf ab, ahnungslose Benutzer opportunistisch mit gängiger Malware zu infizieren, wie unten beschrieben. Es ist jedoch wichtig zu beachten, dass Angreifer diese Technik seit Jahren auf verschiedene Weise einsetzen. Ein bemerkenswertes Beispiel ist der Bericht von Anfang 2022 BATLOADER und Agent Atera auf diese Weise geliefert werden. Letztendlich sind Angreifer in diesen Szenarien erfolgreicher, wenn sie die Ergebnisse beliebter Downloads in Verbindung mit Organisationen vergiften, denen umfangreiche interne Markenschutzressourcen fehlen.

In diesem Artikel werden wir uns eine laufende SEO-Vergiftungskampagne ansehen. relativ zu 3D-MischerOpen-Source-3D-Grafiksoftware, als Beispiel dafür, wie diese Angriffe verwendet werden, um Benutzer durch Websuchen zu infizieren.

Blender 3D SEO-Vergiftung

Wir ahmten die Aktionen eines ahnungslosen Benutzers nach, führten eine routinemäßige Google-Suche nach „Blender 3D“ durch und sahen uns die oben angezeigten Anzeigenergebnisse an.

Bemerkenswerterweise ändern sich die böswilligen Anzeigen, die von dieser Studie geschaltet werden, schnell und verdeutlichen, wie Angreifer solche Bemühungen wahrscheinlich in großem Umfang automatisieren, einschließlich SEO-Poisoning und der Erstellung bösartiger Domains, wohin sie führen. Sehen Screenshots, die andere gesammelt haben für solche Beispiele dafür, dass es sich nicht um einzelne bösartige Domänen handelt, sondern um einen kontinuierlichen Strom neuer Aktivitäten nach der Bereinigung.

Am 18. Januar sehen wir drei bösartige Blender 3D-Anzeigen vor der legitimen Blender.org Domäne aufgeführt ist.

18. Januar 2023 SEO-Poisoning-Ergebnisse für Blender 3D
18. Januar 2023 SEO-Poisoning-Ergebnisse für Blender 3D

Die oben genannten drei schädlichen Werbeanzeigen beziehen sich auf:

  • blender-s.org
  • blendersa.org
  • blender3dorg.fras6899.odns.fr

Die besten Ergebnisse, blender-s.org ist eine fast exakte Kopie der legitimen Blender-Domain.

Malicious Mixers-Website
Malicious Mixers-Website
Legit Mixer-Website
Legit Mixer-Website

Das Böse blender-s die Seite enthält einen Download-Link für „Blender 3.4“; Der Download wird jedoch nicht über eine Dropbox-URL bereitgestellt blender.orgund liefert a blender.zip Fall.

https://www.dropbox[.]com/s/pndxrpk8zmwjp3w/blender.zip

Wenn wir uns die Dropbox-Freigabedetails ansehen, sehen wir die folgenden Upload-Eigenschaften:

  • Größe: 1,91 MB
  • Geändert: 16.01.2023, 05:00
  • Typ: Archiv
  • Hochgeladen von: Rays-Who Rays-Who
  • Veröffentlichungsdatum: 16.01.2023, 05:00 Uhr

In diesem Fall die ZIP-Datei SHA1-Hash ist 43058fc2e4dfa2d8a9108da51186e35b7d49f0c6das enthält ein blender.exe Fall (ffdc43c67773ba9d36a309074e414316667ef368).

Die Blender.exe die Datei ist mit einem ungültigen Zertifikat von AVG Technologies USA, LLC signiert. Dasselbe Zertifikat hat eine lange Geschichte der Verwendung illegaler Crimeware, einschließlich durch Racoon Stealer.

  • Name: AVG Technologies USA, LLC
  • Fingerabdruck: 95AB6BCA9A015D877B443E71CB09C0ED0B5DE811
  • Seriennummer: 0E 31 E4 8D 08 06 5B 09 8F 84 E7 C5 10 33 60 74

Das bereitgestellte Beispiel wird von mehreren Anbieter-Engines, einschließlich des SentinelOne-Agenten, als Malware erkannt. Wir werden später weitere Details zu dieser speziellen Malware-Familie veröffentlichen.

VirusTotal-Anbietererkennungen für das bösartige Beispiel blender.exe
VirusTotal-Anbietererkennungen für Malware blender.exe Probe

Überprüfung des schädlichen Links zu blendersa.org zeigt, dass die Seite fast identisch mit dem vorherigen Beispiel ist, das auch einen Download-Link zu einer Dropbox-URL bereitstellt.

Schädliche Mixersa-Website
Schädliche Mixersa-Website

Der Dropbox-Link ist in diesem Fall

https://www.dropbox[.]com/s/fxcv1rp1fwla8b7/blender.zip

und die Uploader-Eigenschaften folgen einem ähnlichen Muster wie blender-s Beispiel.

  • Größe: 1,91 MB
  • Geändert: 16.01.2023, 05:07
  • Typ: Archiv
  • Hochgeladen von: support-duck
  • Gepostet am: 16.01.2023, 05:07

Die mit dieser Version verknüpften Dateien sind:

  • Blender.zip – SHA1: f8caaca7c16a080bb2bb9b3d850d376d7979f0ec
  • Blender.exe – SHA1: 069588ff741cc1cbb50e98f66a4bf9b4c514b957

Die Akteure hinter diesen beiden Websites sind auch für Dutzende anderer Themen rund um beliebte Software wie Photoshop, spezifische Finanzhandelstools und Fernzugriffssoftware verantwortlich. Die eigene Infrastruktur des Schauspielers war hinter CloudFlare verborgen, das glücklicherweise schnell bestätigte und reagierte, indem es die Websites als bösartig markierte, nachdem wir den Missbrauch des Dienstes gemeldet hatten. Alle neuen Besucher, die vorrücken, erhalten die folgende Warnung:

Website mit CloudFlare-Phishing-Warnung aktualisiert
Website mit CloudFlare-Phishing-Warnung aktualisiert

Die neueste bösartige Blender 3D-Werbung ist für blender3dorg.fras6899.odns.fr, das eine Vielzahl von Versandmethoden verwendet. Beispielsweise kann der Download-Link eine Discord-URL anstelle der Dropbox-URL verwenden.

Schädliche blender3dorg-Website
Schädliche blender3dorg-Website

Der spezifische Discord-Link für dieses Beispiel lautet

https://cdn.discordapp[.]com/attachments/1001563139575390241/1064932247175700581/blender-3.4.1-windows-x64.zip

Endlich liefert es blender-3.4.1-windows-x64.zip (f00c1ded3d8b42937665da3253bac17b8f5dc2d3), bei dem es sich um ein Verzeichnis handelt, das eine bösartige ISO-Datei enthält.

Die Verwendung von schädlichen ISO-Dateien ist nicht neu – wie Viele haben im vergangenen Jahr berichtet.
blender-3.4.1-windows-x64.iso(53b7bbde90c22e2a7965cb548158f10ab2ffbb24) ist ca. 800 MB groß und enthält a blender-3.4.1-windows-x64.exe und eine große Sammlung verdächtiger XML-Dateien.

Fazit

SEO-Vergiftung, die zu böswilliger Werbung führt, ist der aufstrebende Stern der heutigen Malware-Bereitstellungsmethoden. Die obigen Beispiele sind nur einige von vielen, die von Suchenden leicht gefunden oder von Benutzern mit häufigen und legitimen Suchanfragen angetroffen werden können. Angreifer haben großen Erfolg mit diesen Angriffsmethoden, und wir können erwarten, dass sich diese Methode weiterentwickelt, um den Aufwand noch weiter zu verbergen.

Indikatoren für Kompromisse

Die Beschreibung IOC
Schädliche Domäne blender-s.org
Malware-Download-Speicherort Dropbox[.]com/s/pndxrpk8zmwjp3w/blender.zip
blender.zip 43058fc2e4dfa2d8a9108da51186e35b7d49f0c6
Blender.exe ffdc43c67773ba9d36a309074e414316667ef368
C2 74.119.194.167
Schädliche Domäne blendersa.org
Malware-Download-Speicherort Dropbox[.]com/s/fxcv1rp1fwla8b7/blender.zip
Blender.exe 069588ff741cc1cbb50e98f66a4bf9b4c514b957
blender.zip f8caaca7c16a080bb2bb9b3d850d376d7979f0ec
Schädliche Domäne blender3dorg.fras6899.odns.fr
Malware-Download-Speicherort cdn.discordapp[.]de/anhänge/
1001563139575390241/1064932247175700581/
blender-3.4.1-windows-x64.zip
PLZ *: ENGLISCH f00c1ded3d8b42937665da3253bac17b8f5dc2d3
ISO 53b7bbde90c22e2a7965cb548158f10ab2ffbb24

SentinelOne Singularity™ bietet Endpunkt-, Identitäts- und Cloud-Schutz. Um mehr darüber zu erfahren, wie SentinelOne Ihr Unternehmen schützen kann, kontaktieren Sie uns oder fordern Sie eine an Kostenlose Demo.