恶意程式Gootloader滥用Google SEO来递送酬载

一般而言，资安业者在研究一个恶意程式的属性时，都会分析它的入侵与散布的途径，而资安业者Sophos近日则发现，控制REvil勒索软件与金融木马Gootkit的骇客集团滥用了Google搜索引擎最佳化（Search Engine Optimization，SEO）机制来诱导使用者下载Gootloader，进而于使用者系统上植入恶意程式。

SEO可借由了解搜索引擎的运作规则来调整网站，以提高网站于搜索引擎结果上的排行。REvil骇客的作法是先入侵众多的合法网站，于网站上植入恶意程式码，不管使用者于Google上输入什么搜寻字串，这些网站都会出现与搜寻字串一模一样的内容，因此便会出现在搜寻结果的上方。

研究人员估计，至少有400个合法网站遭骇客植入恶意程式码，而且它们并不知道自己沦为骇客感染使用者的跳板。此外，它们的网站定位可能与使用者输入的内容毫无关联，例如当使用者查询“卖房子时需要附上界墙协议吗？”出现在该搜寻结果页面之首的却是医疗网站。

当使用者点选网站链接后，出现的是一个论坛式的页面，会再度出现“卖房子时需要附上界墙协议吗？”但这次是一个可供下载的ZIP档案，下载并解压缩后，则是一个JavaScript档案，执行后便会安装Gootloader。

骇客于网站上植入的恶意程式还会筛选攻击目标，例如只有在遇到来自北美、德国、法国与韩国的使用者时，才会跳出论坛页面与恶意的ZIP档案，否则便是简单地呈现一个无害的网页。

至于Gootloader在使用者系统上扮演的则是散布的角色，它会与骇客所建立的C&C服务器通讯，进而下载其它的恶意程式。

迄今研究人员仍无法判断骇客是如何入侵这些合法网站的，可能是透过恶意程式或是黑市取得这些网站的登入凭证，也可能是开采了合法网站所使用的内容管理系统（CMS）/插件的安全漏洞。其中，有不少被骇网站都采用了同一个知名的内容管理系统，只是Sophos并未公布其品牌名称。