SEO poisoning: attenzione ai siti da cui scaricate Zoom, TeamViewer, Visual Studio e altri software

La tecnica conosciuta con il nome di SEO poisoning (oppure search poisoning) consiste nell'”avvelenare” i risultati delle ricerche online.
I criminali informatici creano specifiche pagine Web con il preciso intento di posizionarle nei risultati del motore di ricerca e indurre gli utenti a visitarle. Le pagine di destinazione contengono però versioni modifiche di alcuni tra i programmi più noti oppure malware il cui codice nocivo viene nascosto sfruttando molteplici metodologie.

I ricercatori di Mandiant hanno scoperto una nuova campagna che mira a trarre in inganno gli utenti facendo scaricare loro applicazioni come Zoom, TeamViewer e Visual Studio da siti non ufficiali.

Le pagine pubblicate dai criminali informatici sui motori di ricerca sfruttano di solito domini conosciuti che soffrono di qualche vulnerabilità di sicurezza e che quindi sono stati precedentemente oggetto di aggressione.
La pagina di destinazione usa di solito un meccanismo chiamato Traffic Direction System ovvero uno script che verifica una serie di attributi del client che si è collegato e decide se mostrare una pagina web legittima oppure contenuti malevoli sotto il diretto controllo dei criminali informatici.

Quando l’utente arriva da un motore di ricerca generalmente gli viene mostrata la falsa pagina di un forum o di un’altra area di discussione contenente un link per il download.
Nel caso della campagna di SEO poisoning appena scoperta, scaricando il file d’installazione che viene proposto il sistema viene infettato con una serie di componenti malevoli.

Nella prima fase dell’infezione gli aggressori usano file dotati di firma digitale fasulla ma riconosciuta come valida dal sistema operativo. Inoltre, attraverso una serie di cmdlet PowerShell, provvedono a disattivare i controlli di sicurezza eseguiti da Microsoft Defender in modo da avere “carta bianca”.

Come spiega Mandiant, l’abilità nel disporre il caricamento di uno script malevolo da un file dotato di firma digitale è evidente indizio di attività poste in essere da gruppi di criminali informatici motivati e capaci di contare su importanti risorse economiche. Tanti pezzi del puzzle sembrano collegare i nuovi attacchi con gli sviluppatori del noto ransomware CONTI che da agosto 2021 ha fatto razzia di dati riservati presso tante realtà aziendali.

Tanti link che fanno riferimento a pagine contenenti file malevoli sono pubblicati usando i più famosi servizi per accorciare gli URL, ad esempio bit.ly.
In un altro articolo abbiamo visto come scoprire gli URL nascosti.

Mai dare nulla per scontato, quindi, e non ritenere che una pagina Web – perché ben posizionata su Google – sia sempre legittima.
I crawler di Google e Bing saranno riconoscere le pagine che contengono malware ma l’utilizzo di espedienti come quelli citati (ad esempio diversificandole a seconda del client che le visita, bot del motore di ricerca compresi) possono indurre in errore i sistemi di scansione automatica, Safe Browsing compreso.