skip to Main Content

Cybercrime, SEO per malware: arriva Gootloader

di Pierguido Iezzi

Sophos identifica una nuova variante di Gootkit: Gootloader

La famiglia di malware Gootkit è in circolazione da almeno 5 anni e i suoi componenti vengono utilizzati per distribuire codice dannoso sotto forma, ad esempio, di ransomware. Ora, i ricercatori di cybersecurity di Sophos, ne hanno identificato un nuovo derivato: Gootloader. Questo è in grado di utilizzare ricerche di nicchia su Google per infettare i computer degli utenti.

Gli aspetti innovativi di Gootloader e l’uso di siti hackerati

L’aspetto che separa questo nuovo malware da tipologie simili è il suo canale di rilascio. Secondo il rapporto pubblicato da Sophos, il gruppo del cybercrime dietro a Gootloader gestirebbe una vera e propria rete di siti web infetti (e in grado di infettare chiunque vi faccia visita). Questi appartenevano a società vere, ma sono stati hackerati tramite l’iniezione di codice dannoso. I Criminal Hacker convogliano i visitatori su questi siti web infetti, postando contenuti che rispondano a domande molto specifiche. Proprio questa ottimizzazione dal lato SEO permette a questi siti (molto verticali a livello di posizionamento) di comparire fra le prime posizioni nei risultati di ricerca offerti da Google (questo ovviamente a patto che l’utente formuli la specifica domanda la cui risposta è contenuta nel suddetto sito). L’aspetto bizzarro è che la domanda spesso non ha nulla a che fare con l’argomento attinente al dominio del sito infetto.

Come funziona la catena d’infezione attraverso i siti web

Un esempio rivelato dai ricercatori di cybersecurity, mostra un sito relativo alla pediatria su territorio canadese che offrirebbe la risposta a un quesito di natura immobiliare. I siti messi nel mirino dai Criminal Hacker molto probabilmente sono stati scelti perché hanno una buona reputazione su Google e quindi hanno ottime chance di piazzarsi in alto in presenza di un quesito molto attinente alla risposta offerta (anche se non correlato all’argomento del dominio nel suo complesso). Quando un visitatore clicca sul link di Google per avere la risposta alla sua domanda, gli viene mostrata quella che sembra apparentemente la pagina di un forum, che presenta poi un link di download a un documento che dovrebbe contenere la risposta. Cliccando su quel link, si inizializza il download di un file .zip che porta il nome della domanda originale (ad es. documenti_necessari_per_compravendita_immobiliare) per convincere lo scaricante che il contenuto sia affidabile. Il file zippato contiene in realtà un file JavaScript che inizia a infettare il computer.

L’operazione del cybercrime ha un alto profilo di sofisticatezza

L’attacco del cybercrime ha un alto profilo di sofisticatezza da diversi punti di vista. Prima di tutto, gli aggressori sono riusciti ad ottenere accesso a centinaia di siti web legittimi, o ottenendo credenziali di login (sottratte o forzate) o sfruttando falle di sicurezza presenti nei plugin del CMS utilizzato per gestire e pubblicare contenuti sul sito. I possessori legittimi di questi siti sembrano essere totalmente all’oscuro dell’abuso sofferto, come sottolineato anche da Sophos. Una volta che i siti web sono stati compromessi, gli hacker iniettano del nuovo codice al loro interno, ma quel codice viene attivato solo quando il visitatore della pagina presenta un particolare sistema operativo e ha impostate lingue specifiche (questo perché sarebbe del tutto inutile mostrare il malware a un utente Mac spagnolo, ad esempio, poiché non potrebbe essere infettato e l’utente non potrebbe leggere la risposta). In questo modo il malware rimane sotto traccia finché non incontra sul suo cammino un obiettivo appetibile.

Gli attacchi sfruttano documenti ad hoc nella stessa lingua del paese target

Gli esperti di cybersecurity hanno rilevato la presenza di numerose varianti del malware Gootloader in tedesco, francese e coreano, presentate attraverso finti post di forum tradotti, all’interno dei quali anche i titoli dei file zip dannosi sono tradotti nella lingua target. In questo modo l’offensiva assumere caratteri internazionali. Inoltre, i file contenenti il malware sono protetti da un doppio offuscamento che rende molto complesso il rilevamento da parte di qualsiasi programma antivirus installato sul PC infetto. Dato che il malware non viene eseguito al 100% finché il computer non viene riavviato, l’obiettivo potrebbe correre il rischio di non accorgersi dell’infezione se non diverse ore (o persino giorni) dall’evento iniziale. Sophos suggerisce che l’onere di porre fine a questo fenomeno ricada ai motori di ricerca, Google in particolare. In sintesi, solo grandi aziende di questo calibro avrebbero gli strumenti necessari (tecnologici prima che economici) per identificare la posizione del vettore di infezione iniziale. D’altra parte il malware sfrutta proprio l’algoritmo di Google per posizionarsi nelle prime posizioni per determinate chiavi di ricerca.

Come difendersi da questa minaccia

La formazione è fondamentale anche in questo caso: gli utenti potrebbero essere formati, in modo da sapere come rendere visibili i suffissi dei file Windows, così da poter capire che il file sul quale stanno cliccando ha un’estensione .js. In questo modo si avrebbe un indizio molto utile per intuire, perlomeno, il potenziale dannoso del file che si sta per scaricare.

Non abbassiamo la guardia!

Back To Top