Potansiyel kurbanları cezbetmek için kötü amaçlı yazılımlarını barındıran web sitelerinin arama motoru sıralamasını yapay olarak arttıran SEO zehirlemesi saldırıları her gün artıyor.
Araştırmacılar, son birkaç ayda saldırganların, küresel müşteri tabanındaki en az iki saldırıda bu taktiği kullandığını söylüyor. Biri REvil fidye yazılımını dağıtmak, diğeri SolarMarker adlı bir arka kapıyı yerleştirmek için kullanılmakta.
Bu hafta yayınlanan bir raporda, saldırıların tehdit aktörlerinin saldırılarında kuruluşlar yerine kullanıcıları hedef alma çabalarını vurgulandığını görülüyor. Güvenlik sağlayıları, eğilimin, kişisel ve ticari cihaz kullanımı arasındaki çizgilerin bulanıklaştığı mevcut uzak çalışma ortamından yararlanmak isteyen bilgisayar korsanları tarafından yönlendirildiği belirtiliyor.
Arama motoru optimizasyonu ”SEO zehirlemesi saldırılarında, saldırganlar önce meşru web sitelerini ele geçirir ve ardından web sitesine, kullanıcıların tercih ettikleri arama motoru aracılığıyla yaygın olarak arayabilecekleri belirli anahtar kelimeleri enjekte eder. Anahtar kelimeleri enjekte etmenin amacı, bir kullanıcı anahtar kelimeleri kullanarak bir şey aradığında, güvenliği ihlal edilmiş web sitesinin arama sonuçlarında daha üstlerde yer almasını sağlamaktır.
SolarMarker, bağlantıya tıklayan kullanıcıları, güvenliği ihlal edilen sitede barındırılan kötü amaçlı bir PDF’ye yönlendirir ve sonunda sistemlerinde arka kapı açılması sağlanır.
Kullanıcıları SolarMarker’ı barındıran sitelere yönlendiren 2.000’den fazla benzersiz arama teriminin gözlemlendiği açıklandı. Örnekler arasında, “endüstriyel-hijyen-inceleme-anket-kontrol listesi” ve “Spor Zihinsel Dayanıklılık Anketi” bulunmaktadır. Bu zararlı yazılım, otomotiv, perakende, finansal hizmetler, imalat, ulaşım ve telekomünikasyon dahil olmak üzere çok sayıda endüstri dikeyindeki kullanıcıları hedef almakta.
Kötü amaçlı PDF’yi barındıran web siteleri dünyaya dağılmış durumda. Birçoğu ABD’deyken, İran ve Türkiye gibi ülkelerde de zararlı yazılım bulunan siteler keşfedildi. Kötü amaçlı PDF’nin yayınlandığı siteler arasında devlet web siteleri ve tanınmış eğitim kurumlarına ait alan adları da bulunmakta.
SEO Zehirlemesi Yüksek Başarı Oranı
SEO zehirlemesi, saldırganların kötü amaçlı yazılım dağıtması veya kullanıcıları kötü niyetli sitelere çekmesi için etkili bir yöntemdir. REvil ve SolarMarker zararlı yazılımları kullanıcıların nispeten yüksek bir yüzdesinin arama motoru sonuçlarındaki kötü amaçlı bağlantıya tıkladığını gözlemleniyor.
Özellikle SolarMarker dağıtımında, belirli bir terimi arayan kullanıcıların yaklaşık %42’sinin sonunda kötü amaçlı PDF’deki bağlantıya tıkladığını ve bunun da kötü amaçlı yazılımı çalıştırdığı görülüyor.
SolarMarker yüzünden güvenliği ihlal edilmiş tüm web sitelerinin, Formidable Forms adlı bir eklenti içeren WordPress siteleri olduğunu ortaya çıktı. Bununla birlikte, eklentinin saldırganların sitelere girmesine izin vermede herhangi bir rol oynayıp oynamadığı henüz belli değil.
Formidable Forms’un güvenliğinin ihlal edilip edilmediğinden veya Formidable Forms’da bir güvenlik açığı olup olmadığı hala kesinleşmedi. Gözlemlenen zehirlenmiş tüm WordPress sitelerinde bunun yaygın olarak yüklenen bir eklenti olduğu dikkat çekiyor.
Saldırganlar ayrıca SolarMarker’ı anti virüs yazılımlarını atlatmak ve gizlice yerleştirmek için büyük boyutlu dosyalar kullanarak nispeten basit bir kaçınma tekniği kullanmakta.
Gözlemlenen en büyük dosyanın boyutu 123MB. Ne yazık ki, antivirüsler, analiz edebilecekleri veya analiz edemeyecekleri şeyler konusunda bir dosya boyutu sınırına sahiptir.
Bu da SolarMarker’ı yayınlayan korsanların işini daha da kolay hale getirmekte.