یک کمپین SEO poisoning مشاهده و کشف شده است که از اعتماد به ابزارهای نرمافزاری قانونی سوءاستفاده میکند تا کاربران را برای دانلود و نصب بدافزار BATLOADER در ماشینهای در معرض خطر فریب دهد.
پژوهشگران Mandiant در گزارشی که این هفته منتشر شد، گفتند: مهاجم از مضامین «free software development tools installation» یا «free productivity apps installation» به عنوان کلیدواژههای سئو برای جذب قربانیان به یک وبسایت در معرض خطر و دانلود یک Installer مخرب استفاده میکند.
در حملات SEO poisoning مهاجم به طور مصنوعی رتبه موتور جستجوی وبسایتهایی را که میزبان بدافزار خود هستند افزایش میدهند تا آنها را در بالای نتایج جستجو نشان دهند تا کاربرانی که برنامههای خاصی مانند TeamViewer، Visual Studio و Zoom را جستجو میکنند را با انواع بدافزار آلوده کنند.
یکی از این فایلهای اجرایی، نسخه دستکاری شده یک جزء داخلی مایکروسافت ویندوز است که به VBScript مخرب اضافه شده است.
این حمله متعاقباً از تکنیکی به نام signed binary proxy execution برای اجرای فایل DLL با استفاده از ابزار قانونی "Mshta.exe" استفاده میکند.
این پروسه منجر به اجرای کد VBScript میشود و مرحله بعدی حمله را آغاز میکند که در آن Payloadهای اضافی مانند Atera Agent، Cobalt Strike Beacon و Ursnif در مراحل بعدی برای کمک به انجام شناسایی از راه دور، افزایش امتیاز و غیره بارگیری میشوند.
پژوهشگران Mandiant در گزارشی که این هفته منتشر شد، گفتند: مهاجم از مضامین «free software development tools installation» یا «free productivity apps installation» به عنوان کلیدواژههای سئو برای جذب قربانیان به یک وبسایت در معرض خطر و دانلود یک Installer مخرب استفاده میکند.
در حملات SEO poisoning مهاجم به طور مصنوعی رتبه موتور جستجوی وبسایتهایی را که میزبان بدافزار خود هستند افزایش میدهند تا آنها را در بالای نتایج جستجو نشان دهند تا کاربرانی که برنامههای خاصی مانند TeamViewer، Visual Studio و Zoom را جستجو میکنند را با انواع بدافزار آلوده کنند.
یکی از این فایلهای اجرایی، نسخه دستکاری شده یک جزء داخلی مایکروسافت ویندوز است که به VBScript مخرب اضافه شده است.
این حمله متعاقباً از تکنیکی به نام signed binary proxy execution برای اجرای فایل DLL با استفاده از ابزار قانونی "Mshta.exe" استفاده میکند.
این پروسه منجر به اجرای کد VBScript میشود و مرحله بعدی حمله را آغاز میکند که در آن Payloadهای اضافی مانند Atera Agent، Cobalt Strike Beacon و Ursnif در مراحل بعدی برای کمک به انجام شناسایی از راه دور، افزایش امتیاز و غیره بارگیری میشوند.