SEO empoisonnement : redirections recherches Google

[Malekal_morte]

Voici une page concernant le SEO (Search engine optimisation) poisoning traduit par optimisation pour les moteurs de recherche empoisonnement qui sévit depuis quelques années.

Qu'est ce que le SEO empoisonnement

Pour expliquer quelques captures d'écran de recherches Google... :






Si vous regardez attentivement les liens et les descriptions de ces résultats de recherche, vous verrez que :

• Les liens ont tous la même structure : domaine.com/suitesdelettresaleatoires/suitesdelettresaleatoires/fichier.php où fichier est pris dans une liste de mots : scan, spywares, trojan etc.
• La description de la recherche ne veut strictement rien dire, c'est une suite de mots clefs

On peut facilement en conclure que ces résultats proviennent d'une liste de sites créée automatiquement et artificiellement.

Quelques autres exemples avec l'hébergeur 01lx.net
Pour chaque campagne, les auteurs de ces SEO empoisonnement enregistrent une multitude de domaines sur un même hébergeur qui seront ensuite utilisés.




Tous les sites créés contiennent une liste de mots clefs qui seront références par le moteur de recherche.
Les mots clefs sont facilement visualisables, il suffit d'ouvrir directement le site depuis le navigateur WEB.
En effet, le site vérifie le referer, c'est à dire le lien cliqué depuis lequel vous avez accéder au dit site, si le lien provient d'un moteur de recherche, il y aura redirection.





Les campagnes de SEO empoisonnement sévissent depuis plusieurs années maintenant, afin d'être efficace, il faut que les mots clefs soit pertinent et susceptibles d'être saisi par les internautes afin que dans les résultats ces faux sites soient affichés et qu'au bout du compte, l'internaute clic dessus.
C'est pourquoi, même s'il existe des recherches fixes en fond (désinfection de trojan, recherche antivirus etc), les évènements dans l'actualité ou buzz sont aussi très utilisés dans les campagnes.
Quelques exemples :

• pifts.exe et redirections Google
• Sport comme le NCAA http://securitylabs.websense.com/conten ... /3322.aspx et http://securitylabs.websense.com/conten ... /3323.aspx
• La mort de Farrah Fawcett : http://blog.trendmicro.com/blackhat-seo ... ett-death/
• etc..

Quelques autres exemples :
http://spywareinfoforum.com/lofiversion ... 23006.html
http://ddanchev.blogspot.com/2009/04/ma ... rving.html

Nous allons voir quel est le but de ce SEO empoisonnement.

A quoi sert le SEO empoisonnement ?

Le SEO empoisonnement sert donc à récupérer des clics depuis les moteurs de recherche afin de rediriger les internautes.

Le but des redirections est bien entendu de générer de l'argent sous diverses manières :

• soit de rediriger vers des sites d'antispywares pour la promotion (utilisation de publicités Pay per click (PPC)) - on retrouve souvent les mêmes SpyHunter, Spyware Doctor, XoftSpySE, StopZilla etc.
• soit utiliser par des affiliés à des spywares, ex : C-NetMedia/2squared : Malwarebot, ErrorSmart etc.
• soit utiliser pour rediriger vers de faux blogs de sécurité et proposer des antispywares à l'arrivée (affiliation) : Faux blogs de sécurité : SpyHunter et Spyware Doctor
• soit pour générer de fausses alertes de sécurité pour faire la promotion de rogue/scareware
• rediriger vers de faux moteurs de recherche pour augmenter le ranking
• eventuellement infecter les internautes à travers des exploits sur des sites WEB

Voici une vidéo qui récapitule les redirections Google générées par le SEO empoisonnement :


Conclusion

Encore une fois, les auteurs de malwares et groupes qui font la promotion de malwares ont trouvé un moyen efficace de tromper les internautes.
Un internaute lambda qui effectue des recherches sans faire très attention aux liens et descriptions risque donc de se retrouver avec de fausses alertes voire un rogue installé sur son PC.

Certaines infections provoquent aussi des redirections lors des recherches Google, en plus des infections ouvrant de fausses alertes (Trojan.Renos/FakeAlert), de quoi embrouiller les internautes sur l'origine de la redirection "simple redirection sur Google ou infection ?"

[Malekal_morte]

Un PDF technique de Sophos (en anglais) concernant les SEO poisoning attacks : http://www.sophos.com/blogs/sophoslabs/?p=9264

[Parisien_entraide]

2023-07-01_123036.png

Dans le premier message du sujet
Vous voulez des cracks et des Keygens ? viewtopic.php?t=71178

il était fait état de techniques d'empoisonnements SEO pour la distribution de stealers soient via de vrais/faux (et inversement :-) sites de cracks MAIS aussi sur des programmes légitimes les plus recherchés (en version payantes ou... gratuites)

SEO = Search Engine Optimisation
Search Engine cela désigne les moteurs de recherche WEB (donc Google, Bing etc)



Pour RAPPEL

Redirections
viewtopic.php?t=2250

Redirections malveillantes lors des recherches Google
https://www.malekal.com/redirection-mal ... es-google/

Une video sur le SEO empoisonnement et redirections Google

https://www.youtube.com/watch?v=5pqb_xa2vbU




_____________________

Source https://www.malwarebytes.com/blog/busin ... e-attacks


Depuis fin novembre, Malwarebytes a connu une nouvelle vague d'activités de publicité malveillante, qui a culminé en février.

Au premier trimestre, les experts ont recensé plus de 800 attaques provoquées par des publicités malveillantes, et soulignent qu'en fait il y en a beaucoup plus.

Auparavant, la publicité malveillante était souvent utilisée par les opérateurs de packs d'exploits (1) .

Cependant, il y a environ cinq ans, ces instruments ont commencé à se démoder.
Actuellement, les logiciels malveillants ciblés sont distribués (1) principalement par le biais de spams et de téléchargements intempestifs sous le couvert d'applications légitimes.



Et pour attirer des victimes potentielles vers des sites malveillants, des bannières publicitaires spécialement conçues sont parfois utilisées.
Selon les analystes, le risque d'obtenir des logiciels malveillants au lieu de logiciels utiles est le plus élevé lors de la recherche des mots clés suivants :

camebmert.png

Mais cela touche également d'autres programmes comme SLACK (très utilisé en entreprise) et qui peut se retrouver sur de faux sites et en première réponse (empoisonnement SEO) mais aussi NotePad++, etc (la liste est longue) et.. récemment RUFUS (l'auteur à du prendre des mesures)

Ex salsck.png

L'étude a également montré que la publicité malveillante est le plus souvent utilisée pour semer des voleurs d'informations (Stealers) - Aurora , Vidar , Raccoon, RedLine

.
La liste, compilée par des experts sur la base des résultats d'observations, comprend également les téléchargeurs de chevaux de Troie BatLoader et IcedID (actuellement utilisés principalement pour diffuser d'autres logiciels malveillants).


La liste (Instant "T")

Code : Tout sélectionner

- IcedID, 
- Aurora Stealer, 
- Batloader Vidar, 
- Gozi, Redline, 
- PureCrypter,
- Rhadamanthys, 
- Raccoon Stealer, 
- NetSupport RAT, 
- FakeBAT,

Les informations d'identification volées à l'aide d'infostealers sont généralement mises en vente, mais on en trouve également en gratuit, tellement l'offre dépasse la demande (cela permet aussi aux voleurs de se faire connaitre, de se faire un nom)

Les lots qui offrent un accès immédiat aux réseaux d'entreprise sont très attrayants pour les opérateurs de ransomwares .
Certains ransomwares préfèrent se passer de cette médiation et utilisent le malvertising pour lancer eux-mêmes leurs attaques.

Ainsi, les propriétaires du ransomware Royal font la promotion de sites à partir desquels vous pouvez prétendument télécharger un programme d'installation légitime pour TeamViewer ou d'autres logiciels populaires.
En fait, ce masque cache le BatLoader, qui télécharge la balise Cobalt Strike, qui ouvre l'accès au réseau cible.


L'utilisation de marques populaires dans des campagnes de malvertising peut tromper l'utilisateur moyen, et une redirection malveillante cachée dans une bannière n'est pas du tout facile à détecter.

Pour se protéger contre une telle menace, les experts conseillent aux organisations de ne pas s'appuyer sur la détection d'abus de marque, mais également d'utiliser des outils de prévention des attaques (sans sa lites MBAM fait évidemment la promotion de son propre outil, normal) :

- programmes de gestion des vulnérabilités et de correctifs ;
- des applications de protection Web capables de suivre et d'arrêter les téléchargements à partir d'un serveur malveillant ;
- bloqueurs de publicités.





---------------------

(1) Sur les kits d'Exploits ou Exploit Web
Drive-By Download : infecter les ordinateurs par le WEB
https://www.malekal.com/drive-by-download-infecter-web/
BlackHole Exploit WebKit : Présentation
https://www.malekal.com/blackhole-explo ... sentation/

15 cyberattaques (attaque informatique) à connaître
https://www.malekal.com/cyberattaques-a ... ormatique/

[Parisien_entraide]

2023-11-22_145132.jpg

La publicité malveillante de Google diffuse des logiciels malveillants déguisés en WinSCP


Les cybercriminels tentent de manipuler les résultats de recherche et les publicités Google pour diffuser des logiciels malveillants aux utilisateurs tentant de télécharger le client Windows SFTP et SCP, WinSCP.

Les chercheurs de Securonix ont appelé la nouvelle campagne cybercriminelle « SEO#LURKER ».

Dans le rapport , les experts expliquent : « Les publicités des cybercriminels renvoient les utilisateurs vers un site WordPress compromis – gameeweb[.]com, après quoi ils sont redirigés vers la prochaine ressource de phishing. »

On pense que les attaquants ont utilisé le mécanisme Google Dynamic Search Ads ( DSA ), qui génère automatiquement des publicités basées sur le contenu du site.

La victime est finalement envoyée vers winccp[.]net, déguisé en site Web officiel de WinSCP.

Là, un programme malveillant est téléchargé qui vole les données des utilisateurs.
Pour que le visiteur reçoive le malware, son en-tête doit correspondre.
Si l'en-tête est incorrect, le visiteur est envoyé regarder le célèbre clip mème de Rick Astley - le soi-disant Rickrolling . (1)

La charge utile finale est extraite de l'archive ZIP « WinSCP_v.6.1.zip », après quoi la bibliothèque est remplacée par un python311.dll malveillant. La DLL elle-même est responsable du chargement du programme d'installation légitime de WinSCP et de l'installation silencieuse des scripts Python « slv.py » et « wo15.py ».

Source et autres détails à https://www.securonix.com/blog/seolurke ... l-malware/

2023-11-22_145157.jpg

Les deux scripts mentionnés ouvrent une connexion à un serveur de commande et de contrôle en arrière-plan et reçoivent des instructions de l'attaquant.


(1) Le "rickrolling" consiste à piéger quelqu'un en lui envoyant de façon impromptue un lien vers la vidéo kitsch à souhait de "Never Gonna Give You Up".
https://www.youtube.com/watch?v=dQw4w9WgXcQ