¿Qué es el envenenamiento SEO? El envenenamiento SEO es una táctica para engañar a los usuarios a que se descarguen malware, de las páginas que aparecen en los resultados de los buscadores.
La técnica conocida como envenenamiento SEO (o envenenamiento de búsqueda) consiste en "envenenar" los resultados de las búsquedas.
Los ciberdelincuentes crean páginas web con la única intención de posicionarlas en los buscadores para conseguir visitas. Las landing pages, sin embargo, contienen versiones modificadas de algunos de los programas o malware más conocidos cuyo código malicioso está oculto.
Los investigadores de Mandiant han descubierto una nueva campaña que tiene como objetivo engañar a los usuarios haciéndoles descargar aplicaciones como Zoom, TeamViewer y Visual Studio de sitios no oficiales.
Las páginas publicadas por los ciberdelincuentes en los buscadores suelen explotar dominios conocidos que sufren alguna vulnerabilidad de seguridad.
La landing page suele utilizar un mecanismo llamado Traffic Direction System, que es un script que comprueba algunos datos del usuario que se ha conectado y decide si mostrar una página web legítima o contenido malicioso bajo el control de los ciberdelincuentes.
Cuando el usuario llega desde un motor de búsqueda, generalmente se le muestra una página falsa de un foro con un enlace de descarga.
En el caso de la campaña de envenenamiento SEO recién descubierta, al descargar el archivo de instalación, el sistema se infecta con malware.
En la primera fase de la infección, los atacantes utilizan archivos con una firma digital falsa pero reconocidos como válidos por el sistema operativo. Además, mediante una serie de cmdlets de PowerShell, deshabilitan los controles de seguridad que realiza Microsoft Defender.
Como explica Mandiant, la capacidad de disponer de firma digital es un claro indicio de que los ciberdelincuentes disponen de importantes recursos económicos. Muchas piezas del rompecabezas parecen conectar los nuevos ataques con los desarrolladores del conocido ransomware CONTI, que desde agosto de 2021 ha estado atacando a muchas empresas.
Muchos enlaces que contienen archivos maliciosos se publican utilizando los servicios más famosos de acortadores URL, por ejemplo, bit.ly.
Los rastreadores de Google y Bing identifican las páginas con contenido malware, pero el uso de trucos como los mencionados (por ejemplo, eligiendo que contenido mostrar según las características del usuarios, incluidos los bots de los motores de búsqueda) puede inducir a error a los sistemas de escaneo automático, incluida la Navegación segura.