Discussione Attacchi di SEO Poisoning & Ads Phishing

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
0

0xbro

Super Moderatore
24 Febbraio 2017
4,461
179
3,762
1,825
Ultima modifica:
Attori malevoli minacciano il web con una nuova categoria di attacchi: il SEO Poisoning e Ads Phishing, cioè l'indicizzazione di pagine malevole su Google tramite gli Ads, con lo scopo di far scaricare contenuti malevoli.​
Clicca per espandere...

photo-1501250987900-211872d97eaa



Attacchi di SEO Poisoning & Ads Phishing​

Fonte originale: Breaking Down the SEO Poisoning Attack, SentinelOne


Nelle ultime settimane sono emersi sempre più annunci pubblicitari malevoli sul web, in particolar modo all'interno del principale motore di ricerca utilizzato dall'84% delle persone al mondo: Google.

Questa tipologia di attacco, riconducibile alla categoria "malvertising", è meglio noto come SEO Poisoning o, più comunemente, Ads Phishing. Lo scopo e il funzionamento dell'attacco sono molto semplici: far scaricare alle proprie vittime del software dannoso falsificando il sito web di un noto brand o software, sfruttando però gli Ads offerti dai vari motori di ricerca per rankare in prima posizione la pagina malevola, prima ancora del sito originale.​

Vediamo un esempio concreto di questo attacco:

1675423231580.png

Blender è una nota suite open source per la modellazione di oggetti 3D. Il sito ufficiale (riquadrato in verde nell'immagine sopra) è https://www.blender.org/, e come tale dovrebbe essere il primo risultato di una ricerca per questo prodotto. Come si può evincere dall'immagine, però, così non è: sono stati indicizzati tramite i Google Ads 3 diverse copie malevole del sito originale, con l'intento di far scaricare a degli utenti ignari un programma malevolo anziché l'originale.

Paragoniamo l'aspetto grafico dei tre siti in questione rispetto all'originale:
1675423660931.png

Sito originale

1675423637019.png

Primo sito malevolo

1675423854768.png

Secondo sito malevolo

1675423893126.png

Terzo sito malevolo

Come possiamo notare, i quattro siti sono praticamente uguali! Non mi meraviglierei affatto se un utente ignaro della truffa o poco attento scaricasse un programma malevolo anziché l'originale. E' vero che i domini sono diversi e che i link da cui vengono scaricati i malware in questione non sono fonti tradizionali di distribuzione software (un link punta a dropbox, un altro a google drive, un altro ancora a discord), ma ci hanno sempre insegnato che i primi risultati di un motore di ricerca sono i più pertinenti e affidabili...​

beh, non è sempre così!

Così come Blender, anche altri prodotti sono stati presi di mira e copiati con lo stesso modus-operandi. Tra questi spiccano i nomi di Photoshop, GIMP, OBS Studio, VLC, 7-Zip, CCleaner, Rufus, Notepad++ e tanti altri programmi ancora.​

1675426436100.png

1675426516977.png


In maniera molto similare, anche i principali password manager cloud-based sono stati presi di mira dalla stessa campagna di malvertising, con la differenza che per queste tipologie di applicazioni gli attaccanti sono interessati a rubare le credenziali delle vittime piuttosto che far scaricare loro dei programmi infetti.

Tra le principali piattaforme replicate spuntano i nomi di 1Password e Bitwarden, ma sono sicuro che anche altri brand come LastPass sono nel mirino dei criminali informatici.
1675426963192.png

1675426980721.png


Come proteggersi?​

Visto che la problematica dipende principalmente da Google, l'unico modo per proteggersi effettivamente è quello di NON affidarsi ai risultati di ricerca pubblicizzati e sponsorizzati tramite Ads. Utilizzare un Ad-blocker può sicuramente fare comodo e limitare il problema, e anche utilizzare un antivirus di aggiornato di fascia medio-alto permette di restare al sicuro e di bloccare tutte le pagine sospette.​

Non solo i motori di ricerca!​

Sebbene la problematica del SEO Poisoning impatti i motori di ricerca, la stessa identica logica viene utilizzata anche per attuare truffe sui siti di acquisti online come ad esempio Amazon! Vi è mai capitato di trovare tra i primi risultati (o tra quelli sponsorizzati) prodotti scadenti o di dubbia provenienza? Beh, credo proprio di sì. Gli Ads non sono mai affidabili e spesso possono essere acquistati da chiunque. Prestate dunque sempre la massima attenzione.​


Risorse esterne:​

www.bleepingcomputer.com

Hackers push malware via Google search ads for VLC, 7-Zip, CCleaner

Hackers are setting up fake websites for popular free and open-source software to promote malicious downloads through advertisements in Google search results.
www.bleepingcomputer.com www.bleepingcomputer.com
www.sentinelone.com

Breaking Down the SEO Poisoning Attack | How Attackers Are Hijacking Search Results

SEO poisoning is gaining momentum as threat actors leverage malicious ads to deliver malware through web browser searches.
www.sentinelone.com www.sentinelone.com
www.bleepingcomputer.com

Bitwarden password vaults targeted in Google ads phishing attack

Bitwarden and other password managers are being targeted in Google ads phishing campaigns to steal users' password vault credentials.
www.bleepingcomputer.com www.bleepingcomputer.com
arstechnica.com

Until further notice, think twice before using Google to download software

Over the past month, Google has been outgunned by malvertisers with new tricks.
arstechnica.com arstechnica.com



Made with ❤ for Inforge
 
  • Mi piace
Reazioni: LinuxUser, coronel, DispatchCode e altri 5
Interessante, soprattutto perchè è un attacco che può trarre in inganno anche i navigatori del web più esperti o chi ha semplicemente un minimo di consapevolezza dei rischi che si corrono in rete.
L'ho notato a lavoro, molti colleghi si affidano ciecamente a google cliccando sui primi risultati di ricerca anche se sono annunci.
Per risolvere ho bloccato gli ad modificando il file hosts locale, ho settato a 0.0.0.0 parecchi domini malevoli.
Ovviamente non l'ho fatto sito per sito singolarmente ma ho copiato e incollato nel file un elenco già pronto da questo sito:

Using a Hosts File To Make The Internet Not Suck (as much) (0.0.0.0 version)

Instructions on how to use a hosts file to avoid viewing ads and to make your internet experience more pleasant.
someonewhocares.org

Oltre a ciò ho impostato come DNS questi IP:
  • 208.67.222.123
  • 208.67.220.123
Sono i nameserver familyshield di OpenDNS che riescono a bloccare molti siti di phishing, contenuti per adulti ecc...
 
  • Mi piace
  • Love
Reazioni: DispatchCode, 0xbro e --- Ra ---
TheWorm91 ha detto:
Interessante, soprattutto perchè è un attacco che può trarre in inganno anche i navigatori del web più esperti o chi ha semplicemente un minimo di consapevolezza dei rischi che si corrono in rete.
L'ho notato a lavoro, molti colleghi si affidano ciecamente a google cliccando sui primi risultati di ricerca anche se sono annunci.
Per risolvere ho bloccato gli ad modificando il file hosts locale, ho settato a 0.0.0.0 parecchi domini malevoli.
Ovviamente non l'ho fatto sito per sito singolarmente ma ho copiato e incollato nel file un elenco già pronto da questo sito:

Using a Hosts File To Make The Internet Not Suck (as much) (0.0.0.0 version)

Instructions on how to use a hosts file to avoid viewing ads and to make your internet experience more pleasant.
someonewhocares.org

Oltre a ciò ho impostato come DNS questi IP:
  • 208.67.222.123
  • 208.67.220.123
Sono i nameserver familyshield di OpenDNS che riescono a bloccare molti siti di phishing, contenuti per adulti ecc...
Clicca per espandere...
Dato che si tratta di computer utilizzati a fini lavorativi non sarebbe stato più comodo fare una white-list contenente solo i portali a cui è permesso l'accesso, invece di usare una black-list di migliaia di siti? Che comunque occupa molto più spazio a livello di archiviazione...
 
CrazyMonk ha detto:
Dato che si tratta di computer utilizzati a fini lavorativi non sarebbe stato più comodo fare una white-list contenente solo i portali a cui è permesso l'accesso, invece di usare una black-list di migliaia di siti? Che comunque occupa molto più spazio a livello di archiviazione...
Clicca per espandere...
Avevo pensato anche a quello ma il problema è che sono in totale 40 postazioni, ogni ufficio ha mansioni differenti e ha necessità di navigare su parecchi portali e dovrei fare una whitelist parecchio ampia.
Questa operazione la faccio come ulteriore livello di sicurezza dal momento che ho un firewall di rete pfsense con regole di traffico molto restrittive e un antivirus centralizzato che anch'esso blocca i domini pericolsi.
Sto lavorando per passare a dominio active directory e l'idea sarebbe di impostare poi i dns e la blacklist direttamente sul domain controller centrale invece che sulle singole workstation.

 
  • Mi piace
Reazioni: --- Ra ---
Interessante. La qualità dei risultati di Google va deteriorandosi di anno in anno. Siamo passati dalla prima pagina piena di articoli blog generati da AI/scritti per il solo scopo di marketing ad attacchi di phishing/malware mirati. Microsoft e ChatGPT, salvateci voi.
 
Il Mercante di Bonus ha detto:
Interessante. La qualità dei risultati di Google va deteriorandosi di anno in anno. Siamo passati dalla prima pagina piena di articoli blog generati da AI/scritti per il solo scopo di marketing ad attacchi di phishing/malware mirati. Microsoft e ChatGPT, salvateci voi.
Clicca per espandere...
Beh oddio, non esageriamo... Io sinceramente ho notato che Google col tempo è migliorato sempre più a livello di qualità di risultati, è solo questa cosa degli Ads che sta andando un po' fuori controllo. Che poi ho notato che questa problematica è molto "vaga", a me sinceramente non è mai capitata e ho provato in diversi modi a cercar di far sbucare degli Ads malevoli, ma ancora non ne ho trovati
 
0xbro ha detto:
Beh oddio, non esageriamo... Io sinceramente ho notato che Google col tempo è migliorato sempre più a livello di qualità di risultati, è solo questa cosa degli Ads che sta andando un po' fuori controllo. Che poi ho notato che questa problematica è molto "vaga", a me sinceramente non è mai capitata e ho provato in diversi modi a cercar di far sbucare degli Ads malevoli, ma ancora non ne ho trovati
Clicca per espandere...

È un dato di fatto che Google nel corso del tempo abbia dato sempre maggiore risalto ad articoli promozionali/clickbait rispetto a contenuti tecnici/approfonditi magari con un sito rimasto negli anni '90 e con zero ottimizzazione lato SEO.

Google Search Is Dying | DKB

Reddit is currently the most popular search engine. The only people who don’t know that are the team at Reddit, who can’t be bothered to build a decent search interface. So instead we resort to using Google, and appending the word “reddit” to the end of our queries.
dkb.io
 
Se paragonati i primi due siti falsi rispetto a quello vero si vede che i falsi sono stati fatti da un deficente

I criminali da quattro soldi possono prendere di mira solo Windows, e infatti l'installer nei siti contraffatti è solo per Windows. Tutti i materiali per condurre un pentest contro Windows sono open source, e quindi facilmente reperibili da questa gente

Per Unix based e MacOS c'è poco e niente di pubblicamente disponibile. È possibile attaccarli, ma prima bisogna capire come funziona un sistema per poterlo attaccare. Ma dato che capire non è proprio il punto forte di questa gente...

Il terzo falso invece è molto più credibile.
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

N
Discussione A Natale siamo tutti più buoni: un'ipocrita festa che offre più possibilità di lateral movement che di bontà
  • Chiuso
  • 2
  • 239
2
239
Sicurezza Informatica
Netcat
N
Discussione La categoria di utente Internet più esposto al rischio di attacco informatico
  • Chiuso
  • 0
  • 285
0
285
Sicurezza Informatica
Netcat
M
Discussione Articolo Attacco ransomware a NorthWave noto marchio di abbigliamento sportivo made in italy
  • Chiuso
  • 5
  • 446
5
446
Sicurezza Informatica
--- Ra ---
T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
0
Guida Cosa è un Penetration Test e quali sono le sue fasi
  • Release
  • In evidenza
  • 2
  • 3K
2
3K
Pentesting e Ethical Hacking Guide e Tools
MRPants
Top Bottom
Indietro