信息化觀察網(wǎng)

勒索團(tuán)伙通常只會針對大中型企業(yè)進(jìn)行數(shù)百萬美元的勒索攻擊，因?yàn)槠胀▊€體并不愿意支付大額贖金。但是近年來勒索軟件有下沉和“內(nèi)卷”的趨勢，開始收割中小企業(yè)甚至個人用戶，投放手法也隨之改變。

近日，研究人員發(fā)現(xiàn)了兩個可能與REvil勒索軟件團(tuán)伙或SolarMarker后門相關(guān)的攻擊活動中使用了SEO投毒方法向目標(biāo)提供有效載荷。調(diào)查顯示，一個REvil加盟團(tuán)伙曾進(jìn)行了大規(guī)模攻擊以感染普通消費(fèi)者和小型企業(yè)，與動輒數(shù)百萬美元的贖金金額不同，該團(tuán)伙索要的贖金金額僅為1500~7500美元，雖然不確定該團(tuán)伙是否利用了SEO投毒攻擊，但這種類型的攻擊符合他們不具備針對性地對任何類型受害者進(jìn)行攻擊的特征。

SEO投毒，也稱為“搜索毒化”，是一種通過“黑帽”SEO技術(shù)來優(yōu)化網(wǎng)站，以達(dá)到在搜索引擎結(jié)果中排名更高目的的攻擊方法。

由于搜索排名靠前，登陸這些網(wǎng)站的受害者往往認(rèn)為它們是合法的，而攻擊者們則乘機(jī)收割搜索特定關(guān)鍵字的大量訪問者。

勒索軟件的SEO

根據(jù)Menlo安全團(tuán)隊(duì)的調(diào)查結(jié)果，惡意軟件分發(fā)者的SEO投毒攻擊呈上升趨勢，其中Gootloader和SolarMarket這兩個惡意軟件格外需要注意。

攻擊者通過上述的惡意軟件在搜索網(wǎng)站上注入了涵蓋2000多個獨(dú)特搜索詞的關(guān)鍵字，如“運(yùn)動精神”、“工業(yè)衛(wèi)生檢測”、“職業(yè)發(fā)展評估測試”等。受害者在搜索相應(yīng)關(guān)鍵詞后，搜索結(jié)果會顯示出一些PDF文件，訪問時(shí)會提示用戶下載文檔，如下所示：

點(diǎn)擊下載按鈕后，受害者就會被重定向到一系列最終投放惡意負(fù)載的網(wǎng)站。攻擊者通過這些重定向的方式，來避免站點(diǎn)因托管惡意內(nèi)容而被從搜索結(jié)果中刪除。

利用WordPress插件漏洞

在研究人員發(fā)現(xiàn)的另外兩個活動中，攻擊者并沒有創(chuàng)建自己的惡意網(wǎng)站，而是入侵了在谷歌搜索排名中靠前的合法WordPress網(wǎng)站。

攻擊者利用這些合法網(wǎng)站“Formidable Forms”WordPress插件中的一個未公開漏洞實(shí)施攻擊，有些攻擊者還曾將惡意PDF上傳到“/wp-content/uploads/formidable/”的文件夾中。據(jù)了解，5.0.07版本是該插件集中發(fā)現(xiàn)的受感染的最新版本，如果有用戶正在使用此特定插件，建議盡快升級到5.0.10或更高版本。

下表顯示了在上述中受感染的網(wǎng)站類型中所涉及的垂直行業(yè)：

從上圖中可以看出，攻擊者主要針對商業(yè)、NGO、醫(yī)療、電商、教育等行業(yè)的站點(diǎn)，原因可能是它們通常以指南和報(bào)告的形式托管PDF。