Cuando un hacker está decidido a realizar un fraude, lo primero que hace es invadir un sitio web para difundir un enlace con virus, desea que ese enlace sea clickeado la mayor cantidad de veces posible. Eso no ocurrirá si el SEO del sitio web de la víctima es malo, si no recibe muchos visitantes, por lo que mejorar el SEO de un sitio puede ser inteligente para los ciber ladrones.
Eso es precisamente lo que hacen los ciberatacantes que han sido analizados por Sophos, criminales que usan técnicas de Black Hat SEO para atraer visitas a la página y después ofrecer malware financiero, herramientas de explotación y ransomware.
A esta técnica se le denomina «Gootloader», donde tiene especial importancia la infección para el troyano de acceso remoto Gootkit (RAT), que también ofrece una variedad de otras cargas útiles de malware.
Mira algunos pasos que realizan en el ataque
– Entran en la sección de administración de un sitio web, ya sea mediante un agujero de seguridad del CMS (WordPress, Joomla, etc) o mediante fuerza bruta.
– Se insertan algunas líneas de código en el cuerpo del contenido del sitio web.
– Se analizan consultas que se originan en la búsqueda de Google.
– Se modifica el contenido de la web infectada para que responda exactamente a consultas de búsqueda específicas. Esto es algo muy recurrente en foros, ya que pueden alterarse las respuestas para que coincidan exactamente con los usuarios buscan en Internet.
– El código malicioso que se ejecuta en el servidor vuelve a redimensionar la página para cada visitante, para que parezca que dicho visitante ha encontrado la respuesta ideal a su tan ansiada búsqueda. Generalmente la respuesta la encuentran en los comentarios, con el enlace que lleva al código malicioso.
– El visitante clickea en el enlace de descarga directa y baja un zip cuyo nombre se relaciona con el término de búsqueda, que contiene un archivo .js. Al abrir ese archivo, iniciará la verdadera amenaza, de forma transparente, así el usuario víctima nunca sospechará que ha sido embaucado.
Según Sophos, la técnica se está utilizando para difundir el troyano bancario Gootkit, el ransomware Kronos, Cobalt Strike y REvil , entre otras variantes de malware, en Corea del Sur, Alemania, Francia y Estados Unidos.
¿Qué tips necesitas para evitar ser atacado?
– Añade buena seguridad en la sección de admin de tu sitio web y trata de tener al día todas tus actualizaciones, si tienes un WordPress, con mucha más razón, ya que es el cms favorito de los atacantes.
– Monitorea los cambios en el contenido de tu sitio, hay herramientas gratuitas que te permiten hacer dicha labor.
– Si descargas un zip de internet, mira muy bien el contenido antes de abrirlo. Si es un .js, un .exe o cualquier otro ejecutable, mejor no lo abras, aunque también puede haber amenazas dentro de imágenes, si encuentras algún png o jpg sospechoso, escanealo con tu antivirus.
Puedes ver el reporte completo de Sophos en este enlace.
Si ya fuiste atacado y no sabes como apagar el incendio, Escríbenos
Sobre nosotros
concretamos todo tipo de proyectos digitales enfocados en resultados con base en mejores prácticas y mejora continua en la experiencia de usuario.