Siber

Hackerlar Arama Motoru Optimizasyonu SEO Teknikleriyle Virüs Yayıyor

Siber saldırganlar, zararlı yazılım yüklerini (malware payloads) mümkün olduğunca çok kurbana dağıtmak için arama motoru optimizasyonu SEO tekniklerine yöneldi. Google sıralamasında yükselmek ise bu yeni tekniğin anahtarı oldu. İngiliz güvenlik yazılımı ve donanım şirketi Sophos’a göre sözde arama motoru “deoptimizasyon” yöntemi, hem SEO hilelerini hem de web sitelerini Google sıralamasında yukarı çıkarmak için insan psikolojisinin kötüye kullanılmasını içeriyor.

arama motoru optimizasyonu seo gootloader
Hackerlar Web Sitelerinin Önce İçerik Yönetim Sistemlerini Ele Geçiriyor

Arama motoru optimizasyonu SEO teknikleri, web sitesi yöneticileri tarafından sitelerinin Google veya Bing gibi arama motorlarında görünürlüğünü yasal olarak daha çok ön plana çıkarmak için kullanılıyor. Ancak Sophos, siber saldırganların artık finansal zararlı yazılım, istismar araçları ve zararlı fidye yazılımı sunmak için web sitelerinin içerik yönetim sistemlerini (CMS) kurcaladığını söylüyor.

Bir blog yayınında siber güvenlik ekibi, “Gootloader” olarak adlandırılan bu tekniğin, çeşitli başka zararlı yazılım yüklerini taşıyan Gootkit Remote Access Trojan (RAT) için bulaşma sisteminin dağıtımını içerdiğini bildirdi. Arama motoru optimizasyonu SEO tekniklerinin Gootkit RAT’ı yaymak için bir yol olarak kullanılması basit ve küçük bir işlem değildir. Araştırmacılar her zaman sunucu ağının korunması gerektiğini düşünüyor.

Arama Motoru Optimizasyonu SEO Teknikleri ile Gootloader Siber Saldırısı Nasıl Yapılıyor?

Siber saldırganlar içerik yönetim sistemlerine (CMS) erişim elde ettikten sonra, web sitesi içeriğinin gövdesine birkaç satır kod ekliyor. Kurbanın hedef olarak ilgilenip ilgilenmediğini anlamak için IP adresleri ve konumlarına göre kontroller yapılıyor. Gootloader tarafından güvenliği ihlal edilen web siteleri, belirli arama sorgularını yanıtlamak için manipüle ediliyor.

Sophos’un gözlemlediği saldırıya uğramış web sitelerinde, “web sitesi içeriğinin belli ziyaretçilere sunulma şeklini yeniden yazmak” üzere ince değişikliklerin yapıldığı sahte mesaj panoları şeklinde bir tema bulunuyor. Ayrıca Sophos açıklamasında “Doğru koşullar karşılanırsa (ve ziyaretçinin IP adresinden web sitesine daha önce hiç ziyaret yapılmadıysa), sunucu tarafında çalışan zararlı kod, ziyaretçiye insanların aynı konuyu tartıştıkları bir mesaj panosu veya blog yorumları alanına rastladıkları izlenimini verecek şekilde sayfayı yeniden çizer.” diyor.

gootloader siber saldırısı
İçerik Yönetim Sistemine Erişen Siber Saldırganar Web Sitesi İçeriğinin Gövdesine Birkaç Satır Kod Ekler

Siber saldırganların kriterleri karşılanmazsa, tarayıcı görünüşte normal bir web sayfası görüntüler. Kriterlerin karşılandığı durumda, aratılan sorgunun açık bir cevabını ve doğrudan indirme bağlantısını içeren sahte bir forum gönderisi görüntülenir. (Örneğin daha önce arama motoru optimizasyonu SEO teknikleri kullanılarak yasal bir yenidoğan kliniğinin web sitesi, emlakla ilgili sorulara sahte yanıtlar gösteren bir forum arayüzü olacak şekilde tehlikeye atıldı.)

arama motoru optimizasyonu seo gootloader hack tekniği
Gootloaderla Ele Geçirilen Yenidoğan Kliniği Web Sitesi

Bu şekilde çıkan forumlardaki doğrudan indirme bağlantılarına tıklayan kurbanlar, arama terimine göre adlandırılmış ve bir .js dosyası içeren bir .zip arşiv dosyası alır. Daha sonra bu .js dosyası yürütülür, bellekte çalışır ve böylece gizlenmiş kodun diğer zararlı yükleri çağırmak için şifresi çözülür.

Sophos’a göre bu teknik, Gootkit bankacılık Troja, Kronos, Cobalt Strike ve REvil fidye yazılımını diğer zararlı yazılım çeşitlerinin yanı sıra Güney Kore, Almanya, Fransa ve Amerika Birleşik Devletleri’nde yaymak için kullanılıyor. Araştırmacılar, son kullanıcıların bazı noktalarda belirtileri fark ederlerse bulaştan kaçınmalarının mümkün olduğunu söylüyor.

Ancak sorun şu ki, eğitimli insanlar bile Gootloader’ı üretenlerin kullandığı arama motoru optimizasyonu SEO teknikleri ve sosyal mühendislik hileleri tarafından kolayca kandırılabilir. NoScript for Firefox gibi komut dosyası engelleyicileri, saldırıya uğramış web sayfasının ilk değiştirilmesinin gerçekleşmesini önleyerek temkinli bir internet kullanıcısının güvende kalmasına yardımcı olabilir. Ama ne yazık ki herkes bu araçları kullanmıyor.

Kaynak
Hackers exploit websites to give them excellent SEO before deploying malware

Semanur Karaca

Bilim ve sanata büyük ilgi duyuyor. Sanat, sağlık, bilim ve teknoloji okumaları yapmaktan hoşlanıyor ve öğrendiklerini paylaşmak için Teknotomy'de yazıyor.

İlişkili Makaleler

Bir yanıt yazın

Başa dön tuşu