ハッカーはマルウェアを展開する前にウェブサイトを悪用して優れたSEOを施す〜すべてがNになる〜

　この新しい手法では、Googleのランクを上げることが鍵となります。

　By Charlie Osborne for Zero Day｜2021年3月1日 -- 14:00 GMT (22:00 SGT) ｜ Topic: サイバーセキュリティの勝利の戦略

　サイバー攻撃者は、できるだけ多くの被害者にマルウェアのペイロードを展開するために、検索エンジン最適化（SEO）技術を利用しています。

Hackers exploit websites to give them excellent SEO before deploying malware | ZDNet

ZDNetのおすすめポイント

ベストなVPNサービス

最適なセキュリティキー

ベストなウイルス対策ソフト

最速のVPN

　ソフォス社によると、いわゆる検索エンジンの「最適化解除」手法には、SEOのトリックと人間の心理を利用した悪用の両方が含まれており、不正アクセスを受けたウェブサイトをGoogleのランキングに押し上げています。

　SEOの最適化は、ウェブマスターがGoogleやBingなどの検索エンジンでウェブサイトの露出を合法的に増やすために使用されます。しかし、ソフォス社によると、現在、脅威となる人物は、Webサイトのコンテンツ管理システム（CMS）を改ざんして、金融マルウェアやエクスプロイトツール、ランサムウェアなどを提供しているとのことです。

　この技術は「Gootloader」と呼ばれ、リモートアクセストロイの木馬（RAT）「Gootkit」の感染フレームワークを展開するもので、他の様々なマルウェアのペイロードも提供すると、サイバーセキュリティチームは月曜日にブログで発表しています。

　Gootkit RATを展開するための手法としてSEOを利用することは、決して小さな作業ではありません。研究者は、成功させるためには、常に400台以上のサーバーのネットワークを維持しなければならないと推定しています。

　これらのドメインを侵害するために特定のエクスプロイトが使用されているかどうかは不明ですが、研究者らは、ウェブサイトのバックエンドを実行するCMSが、マルウェア、盗まれた認証情報、ブルートフォース攻撃などによって乗っ取られた可能性があると述べています。

　特集

　　サイバーセキュリティの勝利のための戦略

　賢明な企業は、リスクマネジメント戦略を用いてサイバーセキュリティに取り組んでいます。最も重要なデジタル資産を守るためのポリシーの作り方をご紹介します。続きを読む

　脅威となる人物がアクセスできるようになると、ウェブサイトのコンテンツに数行のコードを挿入します。被害者が標的として関心を持っているかどうか（IPや位置情報など）がチェックされ、Google検索からのクエリが最もよく受け入れられます。

　Gootloaderによって侵害されたウェブサイトは、特定の検索クエリに答えるように操作されます。ソフォスが観測したハッキングされたWebサイトでは、偽の掲示板が常にテーマとなっており、「特定の訪問者に対してWebサイトのコンテンツをどのように表示するかを書き換える」という「微妙な」修正が行われています。

　"ソフォス社によれば、「適切な条件が満たされた場合（訪問者のIPアドレスから過去にウェブサイトにアクセスしたことがない場合）、サーバーサイドで実行されている悪意のあるコードがページを再描画し、訪問者に、人々が正確に同じトピックについて議論している掲示板やブログのコメント欄に出くわしたかのような印象を与えます。

　攻撃者の条件が満たされない場合、ブラウザは一見普通のウェブページを表示しますが、最終的にはゴミのようなテキストに分解されます。

　その結果、偽のフォーラム投稿が表示され、その中には質問に対する回答と、直接ダウンロードできるリンクが含まれています。チームが検討した例では、正規の新生児クリニックのウェブサイトが侵害され、不動産に関する質問に対する偽の回答が表示されました。

　直接的なダウンロードリンクをクリックした被害者は、検索ワードに関連した名前の、.jsファイルを含む.zipアーカイブファイルを受け取ります。

　.jsファイルが実行されると、メモリ上で動作し、難読化されたコードが復号化されて他のペイロードを呼び出します。

　ソフォス社によると、この手法は、韓国、ドイツ、フランス、米国において、バンキング型トロイの木馬「Gootkit」、「Kronos」、「Cobalt Strike」、ランサムウェア「REvil」などのマルウェアの拡散に使用されているとのことです。

過去と関連する報道

・北朝鮮のハッカーがトロイの木馬「RokRat」を投入し、対南キャンペーンを展開

・トロイの木馬「Masslogger」がOutlookやChromeの認証情報を盗むために再発明される

・コロンビアのエネルギーおよび金属企業が新たなトロイの木馬攻撃の波にさらされる

www.DeepL.com/Translator（無料版）で翻訳しました。

　あとなんか総務省がLINEの使用をやめたようですが個人情報の取り扱いで言うならGoogle先生の方を注意した方が良いのではないかと思います。

After months of stalling, Google finally revealed how much personal data they collect in Chrome and the Google app. No wonder they wanted to hide it.
⁰
Spying on users has nothing to do with building a great web browser or search engine. We would know (our app is both in one). pic.twitter.com/lJBbLTjMuu

— DuckDuckGo (@DuckDuckGo) March 15, 2021

グループ会社以外にも各社に情報は提供されているようですので..............。