Hackers que mejoran tu SEO para que el virus llegue a más personas

Cuando un pirata informático invade un sitio web para difundir un enlace a un virus, quiere que ese enlace se presione tantas veces como sea posible. Eso no ocurrirá si el SEO de la víctima es malo, si no recibe muchos visitantes, por lo que mejorará el SEO de una página puede ser inteligente para los criminales.

Eso es precisamente lo que hacen los ciberatacantes que han sido analizados por Sophos, criminales que usan trucos SEO para atraer visitas a la página y después oferar malware financiero, herramientas de explotación y ransomware.

Se trata de la técnica denominada "Gootloader", donde cobra especial importancia la infección por el troyano de acceso remoto (RAT) Gootkit, que además ofrece una variedad de otras cargas útiles de malware.

Aquí tenemos los pasos que realiza:

– Entrar en la sección administración de un sitio web, ya sea mediar un agujero de seguridad del CMS o mediar fuerza bruta.
– Algunas líneas de código se insertan en el cuerpo del contenido del sitio web.
– Se analizan consultas con origen en Google.
– Se modifica el contenido de la web infectada para que responda exactamente a consultas de búsqueda concretas. Es algo muy común en los foros, porque se pueden alterar las respuestas para que coincidan exactamente con lo que la gente busca en Internet.
– El código malicioso que se ejecuta en el servidor vuelve a dibujar la página para cada visitante, de modo que parece que el visitante ha encontrado la respuesta ideal a su pregunta. Generalmente la respuesta se encuentra en los comentarios, con el enlace que lleva el código malicioso.
– El visitante hace clic en el enlace de descarga directa y descarga un zip cuyo número está relacionado con el término de búsqueda, que contiene un archivo .js. Al abrir ese archivo, commensará descargarse la verdadera amenaza, de forma transparente para que el usuario no suspeche nada.

Según Sophos, la técnica se está utilizando para propagar el troyano bancario Gootkit, el ransomware Kronos, Cobalt Strike y REvil, entre otras variantes de malware, en Corea del Sur, Alemania, Francia y Estados Unidos.

Como consejos:

– Protegió la sección de administración de su sitio web y mantuvo todo actualizado.
– Monitorización de cambios en el contenido.
– Si bajáis un zip de internet, mirad el contenido antes de abrirlo. Si es un .js, un .exe o cualquier otro ejecutable, no lo abráis nunca, aunque también puede haber amenazas dentro de imágenes.

Podéis ver el informe completo de Sophos en este enlace.