Come ti diffondo il trojan usando… Google!

Nov 03, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, News, RSS 0

Una complessa campagna sfrutta centinaia di siti hackerati per “promuovere” pagine Web infette e farle finire ai primi posti nelle ricerche.

Il SEO (Search Engine Optimization) è una delle arti più apprezzate nel terzo millennio. Le aziende pagano fior di soldi per ottenere i primi posti nelle ricerche di Google e chi è in grado di garantire il risultato (il che succede non sempre con mezzi completamente leciti) sa di avere tra le mani una professionalità di quelle che valgono.

L’ottimizzazione su Internet, però, non ha solo la funzione di garantire una maggiore visibilità ai siti aziendali. Un gruppo di pirati informatici ha pensato bene di sfruttarla per diffondere a tappeto un trojan bancario.

Come spiegano i ricercatori di Talos, che hanno analizzato l’attività dei pirati nel dettaglio, la tecnica prevede l’ottimizzazione per alcune ricerche particolari ed è piuttosto ingegnosa.

I cyber-criminali hanno prima di tutto predisposto delle pagine Web infette per distribuire il trojan. Hanno poi usato numerosi server Web compromessi per nascondere collegamenti alle pagine in questione, collegandoli a delle parole chiave mirate.

Questo trucchetto fa leva su uno dei parametri usati dal motore di ricerca di Google per definire il posizionamento nelle ricerche, cioè quello che considera i link da altre pagine Web. Naturalmente per scalare la classifica nei risultati di Google con questo metodo bisognerebbe usare migliaia di siti infetti.

I pirati, però, hanno adottato un trucco davvero geniale: usare un numero elevato di parole chiave, ma molto lunghe e molto specifiche.

Gli esempi riportati dai ricercatori nel blog di Talos rendono l’idea: le pagine finiscono per essere tra i primi risultati per chi cerca, ad esempio, l’orario di apertura della Al Rajhi Bank (una banca in Arabia Saudita – ndr) durante il Ramadan, la procedura per annullare un assegno in una banca del Commonwealth o un sito che offra gratis i manuali per sostenere l’esame da impiegati bancari.

Se si individua una chiave di ricerca molto specifica, scalare l’elenco dei risultati su Google non è poi così difficile.

Insomma, se qualcuno esegue una di queste ricerche (o qualcosa che ci va molto vicino) su Google, si ritrova ai primi posti proprio le pagine infette.

I riferimenti (anche indiretti) a banche e istituti di credito, secondo gli analisti di Talos, sarebbero un modo per selezionare le potenziali vittime tra quelle che in qualche modo danno più garanzie di avere un servizio di Home Banking.

L’obiettivo finale, infatti, è quello di infettare i computer con Zeus Panda, un trojan bancario piuttosto conosciuto e comparso già nell’agosto scorso.

Una volta attirate sui siti infetti, le vittime vengono reindirizzate fino al download di un documento di Word, che utilizza il vecchio trucco dei comandi Macro per scaricare e installare il trojan.

Una tecnica non particolarmente raffinata (se usassero un Exploit Kit sarebbero davvero dolori) ma che rischia ancora di funzionare, almeno sui grandi numeri.

Condividi l'articolo