Prima este o amenințare cibernetică gravă surprinsă de echipa de securitate de la Sophos, care a avertizat săptămâna trecută că „Internetul este plin de pisici – în acest caz, site-uri web cu pisici false care aduc malware, utilizate pentru optimizarea motoarelor de căutare”.
"Pisicile bengaleze sunt legale în Australia?"
Se pare că cel mai recent truc pentru a atrage utilizatorii să instaleze programe malware se bazează pe termenii motoarelor de căutare de nișă pentru a oferi linkuri rău intenționate celor care așteaptă rezultatele. Această așa-numită otrăvire SEO are nevoie de termeni destul de specializați, altfel nu ar putea oferi rezultate din partea de sus a paginii. „În acest caz”, spune Sophos, „am găsit actorii GootLoader folosind rezultatele căutării pentru informații despre o anumită pisică și o anumită geografie care este folosită pentru a livra sarcina utilă:
„Investigația noastră”, raportează echipa, „a dezvăluit că actorul amenințării folosea otrăvirea SEO printr-un forum online ușor de accesat, găsit printr-o simplă căutare pe Google, inițiată de utilizator pentru „Ai nevoie de o licență pentru a deține o pisică Bengal în Australia” … Imediat după ce utilizatorul a dat clic pe link, un fișier .zip suspect a fost descărcat în C:\Users\
Este suficient să spunem că deschiderea acestei postări compromise pe forum ar descărca o sarcină utilă de arhivă ZIP rău intenționată care ar începe instalarea în etape a programelor malware periculoase. „Odată folosit exclusiv de infractorii cibernetici din spatele ransomware-ului REVil și al troianului bancar Gootkit”, avertizează Sophos, GootLoader, „a evoluat acum într-un acces inițial ca platformă de servicii – Gootkit oferind capabilități de furt de informații, precum și capacitatea de a implementa post- instrumente de exploatare și ransomware.”
În mod clar, dacă e interesează pisicile bengale și locuiești în Australia, atunci va trebui să fii foarte atent. Pentru toți ceilalți, țineți cont de acest atac. Dacă căutarea ta este de nișă, atunci este posibil să fii mai susceptibil la link-uri rău intenționate decât căutările mai generice.
După cum avertizează guru-ul cibernetic de la ESET, Jake Moore, „infractorii sunt inteligenți în ceea ce privește modul în care acționează și adesea oamenii vor pune o doză uriașă de încredere în motoarele de căutare presupunând că rezultatele sunt verificate înainte de a fi clasate. Din păcate, actorii rău intenționați devin din ce în ce mai creativi, ceea ce înseamnă că oamenii trebuie să fie vigilenți.”
Elementele fundamentale nu se schimbă totuși – fii atent la link-uri și instalări. De obicei, acest lucru se aplică cel mai mult atacurilor concepute prin intermediul rețelelor sociale, e-mailului sau platformelor de mesagerie. Acest lucru adaugă doar rezultatele căutării în acel amestec amețitor.
Fii atent la Google
A doua poveste „fii atent la Google” este foarte diferită. Cu doar câteva zile înainte de publicarea raportului Sophos, o știre a apărut pe mai multe site-uri de presă, avertizând că „o femeie a dezvăluit cele patru cuvinte pe care ar trebui să le eviți când cauți pe Google pentru a te asigura că poliția nu va face o vizită neașteptată la ușa ta”.
După cum s-a raportat, un cuplu din Long Island „căuta articole de uz casnic”, când a introdus din greșeală combinația potrivită pentru a declanșa un semnal de profilare a terorismului, determinând forțele de ordine să le facă o vizită. „Așadar, dacă nu vrei să apară poliția la ușa ta, nu căuta expresia - „bombă pentru oala sub presiune” împreună cu cuvântul „rucsac”.
Povestea a fost puțin exagerată, având în vedere că acesta nu era un semnal direct de la un sistem informatic atotvăzător din DC care analizează căutările Google. De fapt, departamentul IT de la angajatorul soțului a fost cel care a semnalat căutarea și a raportat-o poliției locale. .Asta a fost în 2013, cu maratonul din Boston proaspăt în mintea oamenilor. „În urma căutării neintenționate realizate de acest cuplu pe internet, mai multe SUV-uri negre au oprit la casa acestuia pentru a se asigura că nu reprezintă o amenințare teroristă.”
Deși povestea a captat imaginația, nu căutările te vor prinde doar conținutul returnat de acele căutări. Accesarea site-urilor web și a linkurilor marcate ca periculoase este mai probabil să îți vadă comportamentul de navigare urmărit decât o căutare în sine. Acestea fiind spuse, o revizuire a istoricului căutărilor de pe dispozitivele ale. sau conectate la conturile tale este aproape sigură.
Potrivit The Hill, „istoria căutărilor lui Thomas Matthew Crooks, identificat drept bărbatul înarmat în vârstă de 20 de ani care a încercat să-l asasineze pe fostul președinte Trump la un miting în afara Pittsburgh, include fotografii cu Trump și președintele Biden, printre altele. Crooks, care a fost ucis după ce a deschis focul la evenimentul de campanie, a căutat datele aparițiilor lui Trump și viitoarea Convenție Națională Democrată, au declarat oficialii FBI membrilor Congresului.
Cu excepția cazului în care ești extrem de atent cu dispozitive curate și fără autentificare la cont, în special nu cu autentificare la un cont Google, și utilizezi un VPN., activitatea pe internet este sigură. Și asta înainte ca noile amenințări inevitabile din motoarele de căutare AI să înceapă să apară.
„Pe măsură ce trecem la o nouă perioadă, în care căutarea pe internet câștigă o mână de ajutor din partea AI”, spune Moore, „oamenii trebuie să fie și mai atenți pe ce dau click. Dacă linkurile îi duc pe oameni direct la o descărcare de mallware, aceștia trebuie să fie foarte atenți că nu instalează ceea ce tocmai a apărut în folderul lor de descărcări.”
Amenințarea SEO
Aceste amenințări câștigă teren și generează avertismente suplimentare. Și hackerii devin din ce în ce mai organizați și industrializați. Revenind la amenințarea de otrăvire SEO, un nou raport de la Trend Micro și partenerii săi japonezi tocmai „a dezvăluit conexiuni ascunse între operațiunile malware SEO”.
Conceptul de operațiuni este același ca în cazul operațiunii Bengal Cat, „actorii amenințării care folosesc tactici de otrăvire SEO pentru a redirecționa utilizatorii către site-uri de comerț electronic false”. Ceea ce este nou, cercetarea a „identificat trei grupuri de actori de amenințări, fiecare folosind o familie unică de malware, în timp ce un grup a folosit mai multe familii de malware”. Acești actori si amenințării au fost, de asemenea, văzuți că își împărtășesc infrastructura de comandă și control și reutilizau site-urile web de comerț electronic rău intenționat, valorificându-și mai bine investițiile și împărțind costurile operaționale.”
Trend Micro avertizează că „numărul de site-uri false de comerț electronic care urmăresc să fraudeze oamenii sau să le fure informațiile personale a crescut”, citând un raport JC3 care avertizează despre 47.278 de site-uri de comerț electronic false, în creștere semnificativă față de cele 28.818 site-uri care fuseseră raportate cu un an mai devreme.
Otrăvirea SEO este momeala pentru acele site-uri false. „Făcând ca motoarele de căutare să afișeze paginile de atracție ale actorilor amenințărilor, ca și cum acestea ar fi fost plasate pe site-urile web compromise. Paginile ademenitoare redirecționează apoi vizitatorii de la motoarele de căutare către site-uri de comerț electronic false pentru a-i păcăli.”
Trend Micro avertizează utilizatorii web să „fii foarte precauți atunci când caută produse prin motoarele de căutare și atunci când folosesc un site de cumpărături pentru prima dată, pentru a evita să cadă victima site-urilor de cumpărături false”.
Tot în această lună, Malwarebytes a avertizat cu privire la o răsturnare a acestei amenințări, Google Ads rău intenționat fiind folosit în loc de otrăvirea SEO brută. „Un anunț care apare în partea de sus a unei căutări Google... acel rezultat sponsorizat pare în întregime autentic, cu un logo oficial și un site web. Știm deja că infractorii pot uzurpa identitatea oricărei mărci, pur și simplu folosind un instrument de urmărire a click-urilor – sau un șablon de urmărire – pentru a ocoli detectarea.”
După cum subliniază echipa de cercetare în raportul lor, „am observat o scădere a încărcătoarelor distribuite prin publicitate malware în ultimele 3 luni”, cu acest nou avertisment „un memento că actorii amenințărilor pot reveni rapid la metode încercate și testate. ”
Amenințarea specifică aici este Fakebat, despre care ei au descoperit că este împins către utilizatori „prin intermediul unei reclame Google rău intenționate pentru aplicația de productivitate Notion. FakeBat este o căutare unică, care a fost folosită pentru a elimina căutările utile ulterioare, cum ar fi Lumma stealer.” Reclamele false au fost imediat raportate la Google.
Indiferent dacă se compromit rezultatele SEO obișnuite sau se plantează reclame sponsorizate, amenințarea este aceeași și avertismentele sunt aceleași pentru utilizatori - este clar că victimele se îndrăgostesc de astfel de escrocherii. „În timp ce reclamele rău intenționate care furnizează încărcături utile de malware au fost puțin mai rare în ultimele câteva săptămâni, exemplul de astăzi arată că actorii amenințărilor pot și vor reveni oricând este momentul potrivit.”
În timp ce otrăvirea SEO ar putea deturna un forum bunpentru a planta un link rău intenționat, reclamele se bazează pe uzurparea identității mărcii, valorificând încrederea pentru a crea un atac social. „Uzurparea identității mărcii prin intermediul reclamelor Google rămâne problematică deoarece oricine poate folosi funcțiile încorporate pentru a părea legitime și poate păcăli utilizatorii să descarce programe malware.”
Semnele unor site-uri periculoase
Trend Micro avertizează că acestea sunt semnele revelatoare ale comportamentului fraudulos:
Adrese URL suspecte care conțin un nume de domeniu neobișnuit
Prețuri suspect de ieftine, în comparație cu prețul obișnuit de piață al produsului
Produse care de obicei nu sunt văzute pe site-urile de cumpărături majore, dar sunt vândute cu reducere
Site-uri care gestionează o gamă largă și diversă de produse, deși nu sunt un site major de vânzare cu amănuntul
Site-uri care uzurpă identitatea unui brand important
Site-uri care pretind a fi „magazin specializat”, dar vând articole fără legătură
Informațiile site-ului nu se potrivesc cu informațiile și locația companiei, notează forbes.com.