Exemple d’empoisonnement de Holy SEO : SolarMarker Malware

Besoin d'améliorer votre visibilité?

Votre site internet ne décolle pas, ou vous souhaitez obtenir des conseils d'optimisation, notre expert vous répond gratuitement du lundi au samedi et de 9h à 19h:

Envoyer un message

L’équipe de Menlo Labs a constaté une augmentation des attaques conçues pour cibler les utilisateurs, par opposition aux organisations, en contournant les mesures de sécurité traditionnelles. Un exemple est Menlo Labs que nous suivons est une campagne active appelée SolarMarker. Nous avons constaté une augmentation du nombre d’attaquants utilisant l’empoisonnement du référencement, avec des taux de réussite élevés, pour fournir des charges utiles malveillantes aux clients. Ces types d’attaques hautement évasives ont déjà été observés, mais la vitesse, le volume et la complexité de cette nouvelle vague ont augmenté ces derniers mois.

Empoisonnement sacré SEO

Résumé

Menlo Labs suit actuellement une campagne active appelée SolarMarker. Nous avons constaté une augmentation du nombre d’attaquants utilisant l’empoisonnement du référencement, avec des taux de réussite élevés, pour fournir des charges utiles malveillantes aux clients. Au cours des derniers mois, nous avons observé au moins deux exemples de campagnes dans notre clientèle mondiale.

  • Campagne Gootloader : Cette campagne a été vue abandonnant le ransomware REvil.
  • Campagne SolarMarker : Cette campagne a été vue en train de supprimer la porte dérobée SolarMarker.

Plusieurs blogs sont disponibles et fournissent des détails sur les logiciels malveillants et le trafic CnC post-compromis. Dans ce blog, nous donnons un aperçu du mécanisme de livraison et de la portée de l’attaque telle que nous la voyons se dérouler.

En plus de SolarMarker, l’équipe de Menlo Labs a constaté une augmentation des attaques conçues pour cibler les utilisateurs, par opposition aux organisations, en contournant les mesures de sécurité traditionnelles. Ces types d’attaques hautement évasives ont déjà été observés, mais la vitesse, le volume et la complexité de cette nouvelle vague ont augmenté ces derniers mois. Les mauvais acteurs exploitent le nouvel ordre mondial dans lequel les frontières entre l’utilisation des appareils professionnels et personnels sont floues. Dans ces attaques, les acteurs de la menace tirent parti des avancées des navigateurs Web et des capacités des navigateurs pour fournir des ransomwares, voler des informations d’identification et déposer des logiciels malveillants directement sur leurs cibles. Nous partagerons plus d’informations sur ces attaques dans un futur blog.

Vecteur d’infection

La campagne de malware SolarMarker utilise l’empoisonnement du référencement. Les attaquants utilisent couramment cette technique pour augmenter artificiellement le classement de leurs pages malveillantes. Pour ce faire, ils injectent au site Web malveillant des mots-clés que les utilisateurs recherchent. Dans notre clientèle, nous avons vu une grande variété de termes de recherche qui ont conduit à des pages malveillantes. nous avons observé plus de 2 000 termes de recherche uniques qui a conduit à des sites Web malveillants. Les termes de recherche suivants sont quelques exemples que nous avons vus :

  • exemples-de-la-veste-bleue-du-trimestre
  • liste de contrôle pour l’enquête sur l’hygiène industrielle
  • 5-niveaux-de-PD-eval
  • Questionnaire de force mentale sportive

L’attaque fonctionne de la manière suivante :

  • Un utilisateur recherche quelque chose en utilisant son moteur de recherche préféré.
  • Les sites Web compromis qui hébergent des fichiers PDF malveillants apparaissent dans leurs résultats de recherche.
  • L’utilisateur clique sur le lien empoisonné SEO.
  • L’utilisateur atterrit sur un PDF malveillant qui ressemble à celui de la figure 1.
  • En cliquant sur l’un des boutons de téléchargement, l’utilisateur passe par plusieurs redirections HTTP, après quoi une charge utile malveillante est téléchargée sur le point de terminaison.
  • Nous avons observé des charges utiles avec trois tailles de charge utile différentes téléchargées dans cette campagne. La plus petite charge utile que nous ayons vue était d’environ 70 Mo, tandis que la plus grande était d’environ 123 Mo. Les grandes tailles des charges utiles malveillantes dépassent les limites de taille de fichier définies par les bacs à sable et autres moteurs d’inspection de contenu.
Exemple d’empoisonnement de Holy SEO : SolarMarker Malware
Figure 1

Tous les sites compromis hébergeant les PDF malveillants se sont avérés être des sites WordPress. Le tableau suivant montre les différentes catégories de sites Web qui ont été vus servant les PDF malveillants à travers notre clientèle. Comme vous pouvez le constater d’après la catégorisation, la plupart des sites étaient des sites bénins qui ont été compromis pour héberger le contenu malveillant. Au cours de notre analyse, nous avons trouvé des sites Web éducatifs et .gov bien connus servant les PDF malveillants. Dans le cadre de notre engagement à garantir un Internet sûr, nous avons informé toutes les parties concernées et ces fichiers PDF malveillants ont été supprimés.

Exemple d’empoisonnement de Holy SEO : SolarMarker Malware

Les PDF malveillants étaient servis à partir d’un répertoire spécifique, à savoir

/wp-content/uploads/formidable/.Ce répertoire est créé lorsqu’un plug-in WordPress appelé Formidable Forms est installé sur le site Web. Formidable Forms est un plug-in qui permet aux administrateurs de créer facilement un formulaire. Au moment d’écrire ces lignes, 100 pour cent des URL compromises dans notre ensemble de données hébergeaient des fichiers PDF malveillants sous cet emplacement de répertoire spécifique.

Le tableau suivant représente les versions du plug-in Formidable Forms installées sur les sites Web compromis que nous avons analysés.

Exemple d’empoisonnement de Holy SEO : SolarMarker Malware

La version 5.0.07 était la dernière version du plug-in Formidable Forms au moment de cette recherche, et c’était la version la plus utilisée par les sites Web compromis. La version minimale que nous avons observée était la 2.02.05.

En regardant le journal des modifications de Formidable Forms, il semble que le plug-in a été mis à jour et qu’un problème de sécurité a été résolu. Nous ne savons pas s’il s’agissait du problème de sécurité responsable du vecteur initial de la campagne SolarMarker ou si Formidable Forms était le plug-in vulnérable en question, mais c’était le plug-in commun installé sur tous les sites Web compromis que nous avons analysés. Nous avons contacté Formidable Forms via LinkedIn pour collaborer, mais nous n’avons malheureusement pas obtenu de réponse.

La campagne SolarMarker était assez répandue et nous l’avons vu affecter toutes les zones géographiques et verticales de notre clientèle. Les secteurs verticaux suivants ont été observés en train de cliquer sur les liens malveillants hébergeant les fichiers PDF.

Exemple d’empoisonnement de Holy SEO : SolarMarker Malware

Le graphique suivant montre les différents emplacements à partir desquels les PDF malveillants ont été servis. Alors que les États-Unis étaient en tête de liste, nous avons remarqué que des sites en Iran et en Turquie étaient également utilisés dans cette campagne.

Exemple d’empoisonnement de Holy SEO : SolarMarker Malware

Commander et contrôler

La porte dérobée SolarMarker elle-même a été largement documentée. CrowdStrike a une analyse de la porte dérobée. En plus des adresses IP CnC répertoriées dans le billet de blog de CrowdStrike, les chercheurs de Menlo Labs ont pu identifier six autres adresses IP CnC. Les adresses IP CnC identifiées ont été transférées vers la plate-forme Menlo Isolation Core™, afin que nos clients soient protégés.

  1. POST 45.42.201.248/
  2. POST 37.120.237.251/
  3. POST 5.254.118.226/
  4. POST 23.29.115.175/
  5. POST 216.230.232.134/
  6. POST 146.70.24.173/

Conclusion

Alors que le monde évoluait vers le travail à distance, le navigateur est devenu le lieu de travail. En fait, une étude de Google a révélé que les utilisateurs finaux passent en moyenne 75 % de leur journée de travail dans un navigateur. Une enquête récente de Menlo Security a révélé que les trois quarts des personnes interrogées pensent que les travailleurs hybrides et distants accédant aux applications sur des appareils non gérés constituent une menace importante pour la sécurité de leur organisation. Et tandis que la majorité (79 %) des personnes interrogées ont mis en place une stratégie de sécurité pour l’accès à distance par des tiers et des sous-traitants, elles sont de plus en plus préoccupées par les risques que présentent les travailleurs à distance, avec plus de la moitié (53 %) des personnes interrogées prévoyant de réduire ou limiter l’accès des tiers/entrepreneurs aux systèmes et aux ressources au cours des 12 à 18 prochains mois.

Alors que SolarMarker est un exemple classique d’attaque de type chaîne d’approvisionnement dans laquelle les attaquants peuvent tirer parti de sites vulnérables pour lancer leurs campagnes malveillantes, c’est également un exemple de la façon dont les attaquants ont rapidement trouvé des moyens d’exploiter l’utilisation accrue du navigateur, comme ainsi que les entreprises s’orientant vers des applications basées sur le cloud. Ce qui rend ce type d’attaque particulièrement dangereux, c’est la méthode utilisée pour l’initier. Comme mentionné précédemment dans ce blog, ces attaques ont été spécifiquement conçues pour cibler directement l’utilisateur en contournant les méthodes de détection traditionnelles.

Recommandations

  • Menlo recommande de bloquer les téléchargements de fichiers exécutables Windows à partir de catégories indésirables.
  • La plupart des sites Web dans les redirections sont hébergés sur .site ou .tk TLDS Si la politique le permet, Menlo recommande de bloquer tous les sites qui se terminent par l’un de ces TLDS.


Article traduis depuis:
Source link