OzzTech - Fidye Yazılımı Dağıtmada SEO Zehirlemesi

Fidye Yazılımı Dağıtmada SEO Zehirlemesi

Fidye Yazılımını Dağıtmak İçin Kullanılan SEO Poisoning

Potansiyel kurbanları cezbetmek için kötü amaçlı yazılımlarını barındıran web sitelerinin arama motoru sıralamasını yapay olarak arttıran SEO zehirlemesi saldırıları her gün artıyor.

Araştırmacılar, son birkaç ayda saldırganların, küresel müşteri tabanındaki en az iki saldırıda bu taktiği kullandığını söylüyor. Biri REvil fidye yazılımını dağıtmak, diğeri SolarMarker adlı bir arka kapıyı yerleştirmek için kullanılmakta.

Bu hafta yayınlanan bir raporda, saldırıların tehdit aktörlerinin saldırılarında kuruluşlar yerine kullanıcıları hedef alma çabalarını vurgulandığını görülüyor. Güvenlik sağlayıları, eğilimin, kişisel ve ticari cihaz kullanımı arasındaki çizgilerin bulanıklaştığı mevcut uzak çalışma ortamından yararlanmak isteyen bilgisayar korsanları tarafından yönlendirildiği belirtiliyor.

Arama motoru optimizasyonu ''SEO zehirlemesi saldırılarında, saldırganlar önce meşru web sitelerini ele geçirir ve ardından web sitesine, kullanıcıların tercih ettikleri arama motoru aracılığıyla yaygın olarak arayabilecekleri belirli anahtar kelimeleri enjekte eder. Anahtar kelimeleri enjekte etmenin amacı, bir kullanıcı anahtar kelimeleri kullanarak bir şey aradığında, güvenliği ihlal edilmiş web sitesinin arama sonuçlarında daha üstlerde yer almasını sağlamaktır.

SolarMarker, bağlantıya tıklayan kullanıcıları, güvenliği ihlal edilen sitede barındırılan kötü amaçlı bir PDF'ye yönlendirir ve sonunda sistemlerinde arka kapı açılması sağlanır.

Kullanıcıları SolarMarker'ı barındıran sitelere yönlendiren 2.000'den fazla benzersiz arama teriminin gözlemlendiği açıklandı. Örnekler arasında, "endüstriyel-hijyen-inceleme-anket-kontrol listesi" ve "Spor Zihinsel Dayanıklılık Anketi" bulunmaktadır. Bu zararlı yazılım, otomotiv, perakende, finansal hizmetler, imalat, ulaşım ve telekomünikasyon dahil olmak üzere çok sayıda endüstri dikeyindeki kullanıcıları hedef almakta.

Kötü amaçlı PDF'yi barındıran web siteleri dünyaya dağılmış durumda. Birçoğu ABD'deyken, İran ve Türkiye gibi ülkelerde de zararlı yazılım bulunan siteler keşfedildi. Kötü amaçlı PDF’nin yayınlandığı siteler arasında devlet web siteleri ve tanınmış eğitim kurumlarına ait alan adları da bulunmakta.

SEO Zehirlemesi Yüksek Başarı Oranı

SEO zehirlemesi, saldırganların kötü amaçlı yazılım dağıtması veya kullanıcıları kötü niyetli sitelere çekmesi için etkili bir yöntemdir. REvil ve SolarMarker zararlı yazılımları kullanıcıların nispeten yüksek bir yüzdesinin arama motoru sonuçlarındaki kötü amaçlı bağlantıya tıkladığını gözlemleniyor.

Özellikle SolarMarker dağıtımında, belirli bir terimi arayan kullanıcıların yaklaşık %42'sinin sonunda kötü amaçlı PDF'deki bağlantıya tıkladığını ve bunun da kötü amaçlı yazılımı çalıştırdığı görülüyor.

SolarMarker yüzünden güvenliği ihlal edilmiş tüm web sitelerinin, Formidable Forms adlı bir eklenti içeren WordPress siteleri olduğunu ortaya çıktı. Bununla birlikte, eklentinin saldırganların sitelere girmesine izin vermede herhangi bir rol oynayıp oynamadığı henüz belli değil.

Formidable Forms'un güvenliğinin ihlal edilip edilmediğinden veya Formidable Forms'da bir güvenlik açığı olup olmadığı hala kesinleşmedi. Gözlemlenen zehirlenmiş tüm WordPress sitelerinde bunun yaygın olarak yüklenen bir eklenti olduğu dikkat çekiyor.

Saldırganlar ayrıca SolarMarker'ı anti virüs yazılımlarını atlatmak ve gizlice yerleştirmek için büyük boyutlu dosyalar kullanarak nispeten basit bir kaçınma tekniği kullanmakta.

Gözlemlenen en büyük dosyanın boyutu 123MB. Ne yazık ki, antivirüsler, analiz edebilecekleri veya analiz edemeyecekleri şeyler konusunda bir dosya boyutu sınırına sahiptir.

Bu da SolarMarker’ı yayınlayan korsanların işini daha da kolay hale getirmekte.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.