Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

SEO poisoning: scaricare malware con le applicazioni

Feb 04, 2022 Redazione news Malware, News 0

Una nuova campagna di SEO poisoning inserisce i malware Batloader e Atera Agent nei sistemi di chi scarica strumenti per la produttività come Zoom, TeamViewer e Visual Studio.

La tecnica del SEO poisoning (letteralmente “avvelenamento dell’ottimizzazione per i motori di ricerca“) consiste nel far posizionare bene nei motori di ricerca siti compromessi per farli visitare dagli utenti.

Come riportato da Bleeping Computer, questi attacchi compromettono siti legittimi per impiantare file malevoli o URL che rimandano a pagine con malware celato dietro le spoglie di popolari applicazioni. Il SEO poisoning fa sì che gli utenti trovino facilmente questi siti quando ne cercano una.

Le parole chiave sono legate a programmi come Zoom, Microsoft Visual Studio 2015, TeamViewer e altri. Quando l’utente clicca sul collegamento nel motore di ricerca, viene portato a un sito compromesso che include un TDS (Traffic Direction System). Si tratta di uno script che esamina diversi attributi del visitatore per decidere se mandarlo alla pagina legittima o a una malevola.

In casi simili in passato, i TDS indirizzavano allo scaricamento del malware solo gli utenti che arrivavano dai motori di ricerca, per rendere più difficili le analisi degli esperti di sicurezza. Se il TDS decide che la vittima è papabile, la manda a un finto forum in cui si parla di una certa applicazione e viene segnalato un link per scaricarla.

Dopo aver scaricato e lanciato gli installer del software desiderato, la vittima si trova infettata con malware e programmi per l’accesso remoto. Dato che i pacchetti con il malware includono anche il software legittimo, molti utenti non si rendono conto di essere stati infettati.

I domini malevoli identificati da Mandiant includono: