在散布惡意軟體的手法當中,搜尋引擎最佳化中毒(SEO Poisoning)可說是相當常見,通常攻擊者會假借提供常見的應用程式及遊戲,或是破解軟體、盜版軟體的名義,引誘Google搜尋的使用者上當,但如今,有人專門針對喜好特定動物的人士而來。

資安業者Sophos揭露最新一波惡意程式GootLoader的攻擊行動,本來攻擊者就會透過搜尋引擎最佳化中毒的手法,來取得受害電腦的初始入侵管道,這次也不例外,但這波攻擊有所不同,駭客鎖定的對象,竟是詢問在澳洲養孟加拉貓是否合法的使用者。這種專門針對特定地區愛貓人士的情況,其實並不常見。

根據研究人員的調查,3月底他們在MDR用戶環境當中,察覺新的GootLoader變種開始積極活動的跡象,循線調查發現,攻擊者透過搜尋引擎最佳化中毒手法,藉由Google搜尋將使用者導向特定網路論壇,而使用者詢問的問題,是有關在澳洲養孟加拉貓是否需要執照(Do you need a license to own a Bengal cat in Australia),一旦他們執行搜尋,檢索結果列出的第一項網址,就是駭客放置的惡意廣告。

若是使用者點選連結,電腦就會自動下載壓縮檔Are_bengal_cats_legal_in_australia_33924.zip,並將使用者重新導向另一個看起來像是相關問題的問答網站。

而上述ZIP檔案內容,包含GootLoader初始執行的JavaScript檔案,執行時會載入另一個大型的JavaScript檔,並建立名為Business Aviation的工作排程,當中透過公用程式wscript.exe,啟動第二階段有效酬載GootKit。

接著攻擊者利用cscript.exe存取PowerShell,但研究人員並未取得對方下達的命令,而無從得知後續的攻擊行動。

雖然這起攻擊行動並未成功,但研究人員近期看到搜尋引擎最佳化中毒的威脅態勢持續成長,而且,過去一年發生數次大規模利用的現象。

熱門新聞

Advertisement