Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Les logiciels malveillants d’empoisonnement SEO comme le Gootkit RAT sont une nouvelle façon pour les entreprises d’être affectées par les ransomwares.

istock-519335916.jpg

Image: iStockphoto / the-lightwriter

Ce n’était qu’une question de temps avant que les cybercriminels ne se tournent vers l’une des activités les plus courantes sur Internet – une recherche Google. La dernière astuce consiste à utiliser des termes de recherche à longue traîne et des sites Web légitimes pour rendre le cheval de Troie Gootkit disponible pour un accès à distance.

Cette dernière itération du Gootkit RAT utilise « techniques d’optimisation malveillantes pour les moteurs de recherche à se tortiller dans les résultats de recherche Google« Comme les analystes de Sophos le décrivent dans un article de blog. La société de cybersécurité rapporte que les criminels utilisent cette nouvelle variante, qu’ils appellent Gootloader, pour fournir des charges utiles de logiciels malveillants en Amérique du Nord, en Corée du Sud, en WordPress et en France. L’étude de Sophos a révélé que les mauvais acteurs ne ne fais pas ça.  » s’adresser aux autres moteurs de recherche aussi souvent ou avec autant de succès.

VOIR: Ingénierie sociale: une aide-mémoire pour les gens d’affaires (PDF gratuit) (TechRepublic)

Chris Rodgers, PDG et fondateur de Colorado SEO Pros, a déclaré que cette nouvelle tactique tirait parti de Google en tant que passerelle et de ses connaissances en matière de référencement, en particulier via des recherches à longue traîne.

« Ils devaient trouver des sujets qui avaient peu de concurrence et un faible volume de recherche, et ils devaient le faire à grande échelle pour être lucratifs », a-t-il déclaré.

Les pirates semblent prendre le contrôle des systèmes de gestion de contenu comme WordPress et les plugins.

«C’est une porte définitive et à partir de là, ces fausses formes peuvent être créées», a-t-il déclaré. « C’est assez créatif quand il s’agit de piratage louche. »

Gaurav Banga, fondateur et PDG de la société de cybersécurité Balbix, a déclaré qu’avec le récent malware Gootloader, les mauvais acteurs provoquent un « empoisonnement au référencement » en compromettant les sites Web légitimes et à fort trafic en accédant au back-end du site Web, en modifiant le contenu Pour améliorer le référencement, ajoutez fichiers zip discrètement nommés contenant les logiciels malveillants que les visiteurs du site Web téléchargent ensuite.

«Le moyen le plus simple de déployer des logiciels malveillants SEO consiste à utiliser le système compromis d’un administrateur», a-t-il déclaré.

Les mauvais acteurs utilisant cette technique vérifieront l’URL de référence pour s’assurer qu’elle provient de Google et non d’un propriétaire d’entreprise ou d’un employé.

«Si vous avez pu obtenir des données de requête, vous pouvez contacter les personnes à la recherche du nom de la marque», a-t-il déclaré.

Rodgers a déclaré que les pirates utilisaient des pages générées par JavaScript et avaient modifié divers éléments de la page, tels que la balise de titre. Il a également déclaré que les mauvais acteurs pourraient utiliser l’intelligence artificielle pour écrire le contenu de ces pages.

« Ils choisissent des sites Web avec beaucoup d’autorité et les modifient jusqu’au nom du fichier », dit-il.

Rodgers a déclaré que ces sites obtenaient un laissez-passer gratuit de Google et que les propriétaires de sites Web devaient augmenter la sécurité de WordPress et mettre en place un plan de réponse en cas de panne du site Web.

« Assurez-vous que votre site WordPress est mis à jour, assurez-vous d’avoir une sorte de pare-feu et faites une vérification du plug-in », a-t-il déclaré.

Il a également déclaré que l’intelligence artificielle avait eu un impact énorme sur l’optimisation des moteurs de recherche et que les nouveaux outils basés sur l’intelligence artificielle de Google avaient éliminé la plupart des façons dont elle pouvait influencer les résultats de recherche.

Banga de Balbix a déclaré que pour empêcher ces attaques, les équipes d’Infosec ont besoin d’une visibilité en temps réel sur l’assainissement de cybersécurité des sites Web connectés à Internet, des systèmes de travail à distance et des serveurs connectés à Internet. Cette visibilité assure la protection, la détection et le confinement.

« Je pense que le seul moyen de lutter contre ces attaques de plus en plus sophistiquées est de prendre conscience de la cybersécurité, d’utiliser l’automatisation pour prédire les risques commerciaux, de créer des réglementations exploitables pour les problèmes critiques et d’améliorer continuellement les attitudes en matière de cybersécurité », a-t-il déclaré.

Pour renforcer les défenses des employés contre les logiciels malveillants, les équipes informatiques doivent s’assurer que les navigateurs sont corrigés et que les applications externes comme PowerShell n’ont pas de politiques illimitées.

Analyse Sophos de Gootloader

Analystes en cybersécurité Gabor Szappanos et Andrew Brandt de Sophos ont publié un aperçu détaillé du fonctionnement de Gootloader. Comme le notent les analystes, la famille de logiciels malveillants Gootkit est active depuis plusieurs années. Les nouveaux développements concernent le mode de livraison qui a gagné le nouveau nom pour décrire ces changements.

VOIR: Ingénierie sociale: une aide-mémoire pour les gens d’affaires (PDF gratuit) (TechRepublic)

Cette nouvelle méthode de livraison est basée sur la technologie ainsi que sur la psychologie humaine, ont déclaré les analystes dans le billet de blog. Les mauvais acteurs piratent des sites Web légitimes et ajoutent des pages avec un contenu non lié. L’analyse Sophos a utilisé un exemple de site Web de cabinet médical piraté pour héberger des pages de contrats immobiliers. Les pages malveillantes prennent la forme de fils de discussion contenant une question spécifique. Dans l’exemple Sophos, la question est: « Ai-je besoin d’un accord de cloisonnement pour vendre ma maison? », Qui se lit comme une requête de recherche.

Une réponse à la requête contient un lien de téléchargement direct vers un fichier d’archive zip avec un nom de fichier correspondant à la requête de recherche. Comme l’expliquent les analystes de Sophos:

« Ce fichier .js est le premier infecteur et la seule étape de l’infection au cours de laquelle un fichier malveillant est écrit dans le système de fichiers. Tout ce qui se passe après un double-clic sur la cible sur ce script s’exécute entièrement en mémoire et se trouve en dehors de la portée. des outils de script traditionnels pour protéger les terminaux.  »

Les chercheurs expliquent les mécanismes de l’attaque, y compris les éléments spécifiques au site. Les analystes notent également que de nombreux sites Web piratés utilisent un «système de gestion de contenu bien connu» que les acteurs de la menace modifient pour changer l’apparence du site Web à des utilisateurs spécifiques en fonction de la façon dont ils arrivent sur le site Web infecté.

Voir également



Source link

Recent Posts