Gootloader 是一种备受关注的搜索引擎优化SEO水洞技术,它专门针对法律相关的搜索词,已被确认为对法律事务所和在线法律信息搜索者的一种威胁。
在8月10日的博客文章中,Trustwave 的 SpiderLabs 表示,Gootloader 恶意软件因其利用被入侵的 WordPress 网站进行恶意软件传播而臭名昭著,同时它还应用 SEO 毒化技术以在网络搜索结果中获得高排名。研究人员表示,Gootloader 通过操控搜索引擎结果并引诱毫无戒心的用户访问被入侵的网站,利用用户对搜索结果的信任来传递恶意负载。
SpiderLabs 的研究人员报告称,近 50 的 Gootloader 攻击目标是法律事务所见下表。虽然大多数关键词是英语,Gootloader 攻击也涵盖法语、西班牙语、葡萄牙语、德语和韩语等语言。
“Trustwave SpiderLabs 一直在追踪 Gootloader,并观察到各种各样的利用第一阶段加载器恶意软件的攻击活动,”Trustwave Spider Labs 的高级安全研究经理 Karl Sigler 表示。
黑洞加速下载官网Sigler 形容这种恶意软件相对独特,因为它结合了 SEO 的推广手段,以恶意网站提供行业专用资源如合同模板,来诱导受害者,而不是常见的网络钓鱼技术。
“这项技术平衡了来自机会攻击的杂项和随机数据的可观回报,以及来自定向攻击的特定但低数量的数据,”他继续说道。“采用这种攻击方式针对法律行业,通常会导致特定数据集的高数量。”
根据 SpiderLabs 的研究,这种攻击通常始于对供应协议文档的无害搜索,结果引导用户进入由 Gootloader 控制的被入侵 WordPress 网页。SpiderLabs 收集了一些引导到这些被入侵网站的搜索查询,并识别出该恶意软件组使用的关键词,揭示了以法律文档为核心的 SEO 特征,如“协议”、“合同”和“表单”。
当用户访问搜索引擎结果中的恶意链接时,研究人员指出,用户会被转向一个模仿论坛的页面。这个假论坛页面利用社交工程技巧,引诱用户点击直接下载所需文档文件的链接。当用户点击假论坛中的下载链接时,他们会被重定向到另一个 WordPress 网页,通常通过 PHP 路径 downloadphp 来识别,该页面同样由攻击者控制。访客的信息也会被检查,满足条件后会提供一个 ZIP 文件供下载。ZIP 文件名取自用户的搜索关键词。
有一个关键点:该 ZIP 文件并不包含用户所期待的文件。相反,它隐藏了一个恶意的 JS 文件,这个文件巧妙地嵌入在一个合法的 JavaScript 库中,SpiderLabs 的研究人员解释道。
法律事务所存储着高度敏感的信息,包括并购、知识产权、医疗记录、信托及房地产、税务数据及各种法律文件,正因此它们成为威胁行为者的主要目标,Conversant 的首
