Los piratas informáticos perfeccionan constantemente sus técnicas para lograr atacar y conseguir sus objetivos. Es cierto que podemos contar con muchas herramientas que ayudan a protegernos en la red. Muchos tipos de programas que de una u otra forma mejoran nuestra privacidad y seguridad. Sin embargo los atacantes también encuentran la manera de mejorar. En este artículo nos hacemos eco de cómo utilizan lo que se conoce como Black Hat SEO para lograr colar malware por Google.
Usan el Black Hat SEO para colar malware por Google
En primer lugar hay que indicar qué es el Black Hat SEO. Básicamente podemos decir que se trata de llevar a cabo técnicas para engañar a los buscadores. El objetivo es que posicionen páginas web que aparentemente son legítimas y seguras, pero en realidad se trata de sitios que contienen malware.
En este caso estamos ante el uso de este truco para colar malware por Google. Más concretamente se trata de un malware para robar información creado Gootkit, un grupo de cibercriminales detrás de otros ataques como el envío del ransomware REvil. Son muchos los métodos para colar malware que pueden usar.
Los atacantes se aprovechan de sitios de WordPress que han sido pirateados y de esta forma llevar a cabo el envenenamiento de SEO para mostrar en los resultados de Google publicaciones con enlaces maliciosos.
Hay que tener en cuenta que Google muestra resultados según la ubicación geográfica. Esto hace que los ataques, las técnicas de envenenamiento SEO, puedan centrarse en una zona concreta, como puede ser un país.
Según un informe realizado por la empresa de ciberseguridad Sophos, estima que Gootloader, el malware para robar información de Gootkit, controla unos 400 servidores activos en cualquier momento que alojan sitios web legítimos pirateados. Indican que los atacantes modifican el sistema de gestión de contenidos de ese sitio para mostrar foros o mensajes falsos a los visitantes de determinadas ubicaciones geográficas.
Se ha observado que de esta forma intentan colar el ransomware REvil, pero también otras variedades, como el troyano Kronos.
Archivo malicioso a través de un enlace
Cuando la víctima hace clic en un enlace, el visitante accede a un archivo ZIP con un archivo JavaScript dentro. Este es el método inicial para infectar el sistema. Sophos señala que esta es la única etapa en la que se escribe un archivo en el disco y que todo el resto del malware se implementa en la memoria del sistema, por lo que las herramientas de seguridad tradicionales no pueden detectarlo.
Utiliza diferentes capas para intentar evadir el antivirus y posteriormente conectar con el servidor de comando y control. Estamos por tanto ante una amenaza que utiliza el Black Hat SEO para lograr infectar el equipo de la víctima sin levantar sospechas.
Es importante que mantengamos siempre los sistemas protegidos, de ahí la necesidad de contar con un buen antivirus. Es algo que debemos aplicar en todo tipo de dispositivos y tenemos a nuestra disposición un amplio abanico de posibilidades.
Igualmente debemos tener los sistemas y cualquier programa que usemos actualizados con las últimas versiones. A veces surgen vulnerabilidades que pueden ser aprovechadas por los atacantes. Los parches y actualizaciones corrigen este problema.