SEO empoisonnement : redirections recherches Google

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 116330
Inscription : 10 sept. 2005 13:57

SEO empoisonnement : redirections recherches Google

par Malekal_morte »

Voici une page concernant le SEO (Search engine optimisation) poisoning traduit par optimisation pour les moteurs de recherche empoisonnement qui sévit depuis quelques années.

Qu'est ce que le SEO empoisonnement

Pour expliquer quelques captures d'écran de recherches Google... :
Image

Image

Image

Si vous regardez attentivement les liens et les descriptions de ces résultats de recherche, vous verrez que :
  • Les liens ont tous la même structure : domaine.com/suitesdelettresaleatoires/suitesdelettresaleatoires/fichier.php où fichier est pris dans une liste de mots : scan, spywares, trojan etc.
  • La description de la recherche ne veut strictement rien dire, c'est une suite de mots clefs
On peut facilement en conclure que ces résultats proviennent d'une liste de sites créée automatiquement et artificiellement.

Quelques autres exemples avec l'hébergeur 01lx.net
Pour chaque campagne, les auteurs de ces SEO empoisonnement enregistrent une multitude de domaines sur un même hébergeur qui seront ensuite utilisés.
Image

Image

Tous les sites créés contiennent une liste de mots clefs qui seront références par le moteur de recherche.
Les mots clefs sont facilement visualisables, il suffit d'ouvrir directement le site depuis le navigateur WEB.
En effet, le site vérifie le referer, c'est à dire le lien cliqué depuis lequel vous avez accéder au dit site, si le lien provient d'un moteur de recherche, il y aura redirection.

Image

Image

Les campagnes de SEO empoisonnement sévissent depuis plusieurs années maintenant, afin d'être efficace, il faut que les mots clefs soit pertinent et susceptibles d'être saisi par les internautes afin que dans les résultats ces faux sites soient affichés et qu'au bout du compte, l'internaute clic dessus.
C'est pourquoi, même s'il existe des recherches fixes en fond (désinfection de trojan, recherche antivirus etc), les évènements dans l'actualité ou buzz sont aussi très utilisés dans les campagnes.
Quelques exemples : Quelques autres exemples :
http://spywareinfoforum.com/lofiversion ... 23006.html
http://ddanchev.blogspot.com/2009/04/ma ... rving.html

Nous allons voir quel est le but de ce SEO empoisonnement.

A quoi sert le SEO empoisonnement ?

Le SEO empoisonnement sert donc à récupérer des clics depuis les moteurs de recherche afin de rediriger les internautes.

Le but des redirections est bien entendu de générer de l'argent sous diverses manières : Voici une vidéo qui récapitule les redirections Google générées par le SEO empoisonnement :


Conclusion

Encore une fois, les auteurs de malwares et groupes qui font la promotion de malwares ont trouvé un moyen efficace de tromper les internautes.
Un internaute lambda qui effectue des recherches sans faire très attention aux liens et descriptions risque donc de se retrouver avec de fausses alertes voire un rogue installé sur son PC.

Certaines infections provoquent aussi des redirections lors des recherches Google, en plus des infections ouvrant de fausses alertes (Trojan.Renos/FakeAlert), de quoi embrouiller les internautes sur l'origine de la redirection "simple redirection sur Google ou infection ?"
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116330
Inscription : 10 sept. 2005 13:57

Re: SEO empoisonnement : redirections recherches Google

par Malekal_morte »

Un PDF technique de Sophos (en anglais) concernant les SEO poisoning attacks : http://www.sophos.com/blogs/sophoslabs/?p=9264
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18384
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: SEO empoisonnement : redirections recherches Google

par Parisien_entraide »

2023-07-01_123036.png


Dans le premier message du sujet
Vous voulez des cracks et des Keygens ? viewtopic.php?t=71178

il était fait état de techniques d'empoisonnements SEO pour la distribution de stealers soient via de vrais/faux (et inversement :-) sites de cracks MAIS aussi sur des programmes légitimes les plus recherchés (en version payantes ou... gratuites)

SEO = Search Engine Optimisation
Search Engine cela désigne les moteurs de recherche WEB (donc Google, Bing etc)



Pour RAPPEL

Redirections
viewtopic.php?t=2250

Redirections malveillantes lors des recherches Google
https://www.malekal.com/redirection-mal ... es-google/

Une video sur le SEO empoisonnement et redirections Google

https://www.youtube.com/watch?v=5pqb_xa2vbU




_____________________

Source https://www.malwarebytes.com/blog/busin ... e-attacks


Depuis fin novembre, Malwarebytes a connu une nouvelle vague d'activités de publicité malveillante, qui a culminé en février.

Au premier trimestre, les experts ont recensé plus de 800 attaques provoquées par des publicités malveillantes, et soulignent qu'en fait il y en a beaucoup plus.

Auparavant, la publicité malveillante était souvent utilisée par les opérateurs de packs d'exploits (1) .

Cependant, il y a environ cinq ans, ces instruments ont commencé à se démoder.
Actuellement, les logiciels malveillants ciblés sont distribués (1) principalement par le biais de spams et de téléchargements intempestifs sous le couvert d'applications légitimes.



Et pour attirer des victimes potentielles vers des sites malveillants, des bannières publicitaires spécialement conçues sont parfois utilisées.
Selon les analystes, le risque d'obtenir des logiciels malveillants au lieu de logiciels utiles est le plus élevé lors de la recherche des mots clés suivants :

camebmert.png


Mais cela touche également d'autres programmes comme SLACK (très utilisé en entreprise) et qui peut se retrouver sur de faux sites et en première réponse (empoisonnement SEO) mais aussi NotePad++, etc (la liste est longue) et.. récemment RUFUS (l'auteur à du prendre des mesures)

Ex salsck.png

L'étude a également montré que la publicité malveillante est le plus souvent utilisée pour semer des voleurs d'informations (Stealers) - Aurora , Vidar , Raccoon, RedLine

.
La liste, compilée par des experts sur la base des résultats d'observations, comprend également les téléchargeurs de chevaux de Troie BatLoader et IcedID (actuellement utilisés principalement pour diffuser d'autres logiciels malveillants).


La liste (Instant "T")

Code : Tout sélectionner

- IcedID, 
- Aurora Stealer, 
- Batloader Vidar, 
- Gozi, Redline, 
- PureCrypter,
- Rhadamanthys, 
- Raccoon Stealer, 
- NetSupport RAT, 
- FakeBAT,

Les informations d'identification volées à l'aide d'infostealers sont généralement mises en vente, mais on en trouve également en gratuit, tellement l'offre dépasse la demande (cela permet aussi aux voleurs de se faire connaitre, de se faire un nom)

Les lots qui offrent un accès immédiat aux réseaux d'entreprise sont très attrayants pour les opérateurs de ransomwares .
Certains ransomwares préfèrent se passer de cette médiation et utilisent le malvertising pour lancer eux-mêmes leurs attaques.

Ainsi, les propriétaires du ransomware Royal font la promotion de sites à partir desquels vous pouvez prétendument télécharger un programme d'installation légitime pour TeamViewer ou d'autres logiciels populaires.
En fait, ce masque cache le BatLoader, qui télécharge la balise Cobalt Strike, qui ouvre l'accès au réseau cible.


L'utilisation de marques populaires dans des campagnes de malvertising peut tromper l'utilisateur moyen, et une redirection malveillante cachée dans une bannière n'est pas du tout facile à détecter.

Pour se protéger contre une telle menace, les experts conseillent aux organisations de ne pas s'appuyer sur la détection d'abus de marque, mais également d'utiliser des outils de prévention des attaques (sans sa lites MBAM fait évidemment la promotion de son propre outil, normal) :

- programmes de gestion des vulnérabilités et de correctifs ;
- des applications de protection Web capables de suivre et d'arrêter les téléchargements à partir d'un serveur malveillant ;
- bloqueurs de publicités.





---------------------

(1) Sur les kits d'Exploits ou Exploit Web
Drive-By Download : infecter les ordinateurs par le WEB
https://www.malekal.com/drive-by-download-infecter-web/
BlackHole Exploit WebKit : Présentation
https://www.malekal.com/blackhole-explo ... sentation/

15 cyberattaques (attaque informatique) à connaître
https://www.malekal.com/cyberattaques-a ... ormatique/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
Parisien_entraide
Messages : 18384
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: SEO empoisonnement : redirections recherches Google

par Parisien_entraide »

2023-11-22_145132.jpg


La publicité malveillante de Google diffuse des logiciels malveillants déguisés en WinSCP


Les cybercriminels tentent de manipuler les résultats de recherche et les publicités Google pour diffuser des logiciels malveillants aux utilisateurs tentant de télécharger le client Windows SFTP et SCP, WinSCP.

Les chercheurs de Securonix ont appelé la nouvelle campagne cybercriminelle « SEO#LURKER ».

Dans le rapport , les experts expliquent : « Les publicités des cybercriminels renvoient les utilisateurs vers un site WordPress compromis – gameeweb[.]com, après quoi ils sont redirigés vers la prochaine ressource de phishing. »

On pense que les attaquants ont utilisé le mécanisme Google Dynamic Search Ads ( DSA ), qui génère automatiquement des publicités basées sur le contenu du site.

La victime est finalement envoyée vers winccp[.]net, déguisé en site Web officiel de WinSCP.

Là, un programme malveillant est téléchargé qui vole les données des utilisateurs.
Pour que le visiteur reçoive le malware, son en-tête doit correspondre.
Si l'en-tête est incorrect, le visiteur est envoyé regarder le célèbre clip mème de Rick Astley - le soi-disant Rickrolling . (1)

La charge utile finale est extraite de l'archive ZIP « WinSCP_v.6.1.zip », après quoi la bibliothèque est remplacée par un python311.dll malveillant. La DLL elle-même est responsable du chargement du programme d'installation légitime de WinSCP et de l'installation silencieuse des scripts Python « slv.py » et « wo15.py ».

Source et autres détails à https://www.securonix.com/blog/seolurke ... l-malware/



2023-11-22_145157.jpg

Les deux scripts mentionnés ouvrent une connexion à un serveur de commande et de contrôle en arrière-plan et reçoivent des instructions de l'attaquant.


(1) Le "rickrolling" consiste à piéger quelqu'un en lui envoyant de façon impromptue un lien vers la vidéo kitsch à souhait de "Never Gonna Give You Up".
https://www.youtube.com/watch?v=dQw4w9WgXcQ
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »