Malware
Betrügerische SEO Malware-Operationen
Ein Projekt von Trend Micro hat die Beziehungen zwischen mehreren Blackhat Malware-Familien für Suchmaschinenoptimierung (SEO) untersucht und herausgefunden, wie die Taktik der Akteure funktioniert und wie „SEO-Malware“ für den Betrug eingesetzt wird.
Zusammenfassung
- Bedrohungsakteure setzen SEO Poisoning-Taktiken ein, um Nutzer auf gefälschte E-Commerce-Seiten umzuleiten. So genannte „SEO-Malware“ wird dazu auf kompromittierten Websites installiert.
- Die Forscher identifizierten drei Gruppen von Bedrohungsakteuren, die jeweils eine eigene Malware-Familie verwendeten, während eine weitere Gruppe mehrere Malware-Familien einsetzte.
- Die C&C-Server einer Malware-Familie nutzten eine begrenzte Anzahl von großen gefälschten E-Commerce-Seiten gemeinsam, andere Malware-Familien verwalteten unabhängige Listen.
Trend Micro-Forscher haben kürzlich ein Forschungsprojekt durchgeführt, in dem sie gemeinsam mit der Universität Kagawa, dem Polizeipräsidium der Präfektur Kanagawa, dem Polizeipräsidium der Präfektur Chiba und dem Japan Cybercrime Control Center die Beziehungen zwischen mehreren Blackhat Malware-Familien für Suchmaschinenoptimierung (SEO) untersuchten. Durch die Analyse von Daten von Command-and-Control (C&C)-Servern verschiedener Arten von SEO-Malware und gefälschten Shopping-Seiten konnten sie unterschiedliche Gruppen von SEO-Malware-Familien identifizieren und herausfinden, wie diese ihre Infrastruktur gemeinsam nutzen, um die Effizienz von SEO-Poisoning-Angriffen zu maximieren, und welche Rolle sie bei der Orchestrierung von E-Commerce-Betrug spielen.
Ihr Forschungspapier „An Analysis of the Relationship between Black-Hat SEO Malware Families Leveraging Information From Redirected Fake E-commerce Scam Sites“ wurde auf der 7th IEEE Conference on Dependable and Secure Computing (DSC2024) vorgestellt, wo die Forscher den Best Paper Award für ihren Beitrag erhielten.
E-Commerce-Betrugsmaschen mit SEO Poisoning
In letzter Zeit hat die Zahl der gefälschten E-Commerce-Websites, die darauf abzielen, Menschen zu betrügen oder ihre persönlichen Daten zu stehlen, zugenommen. Einem Bericht des JC3 zufolge wurden dem JC3 in Japan 2023 47.278 gefälschte E-Commerce-Websites gemeldet, ein Anstieg gegenüber den 28.818 gemeldeten Websites im Vorjahr.
Einige Bedrohungsakteure hinter den gefälschten E-Commerce-Websites installieren Malware in kompromittierten Websites für Blackhat SEO-Zwecke: Die Malware sorgt für SEO-Poisoning, indem sie Suchmaschinen dazu bringt, die Seiten der Bedrohungsakteure mit den Ködern so anzuzeigen, als ob sie auf den kompromittierten Websites platziert wären. Die Köderseiten leiten dann Nutzer von Suchmaschinen auf gefälschte E-Commerce-Seiten um. Die Studie konzentriert sich auf die Bedrohungsakteure, die diese Taktik anwenden. Die Malware, die zu diesem Zweck auf kompromittierten Websites läuft, wird als „SEO-Malware“ bezeichnet.
Diese SEO-Malware soll Webserver-Anfragen abfangen und bösartige Inhalte zurückgeben. Auf diese Weise können Bedrohungsakteure eine manipulierte Sitemap an Suchmaschinen senden und die erzeugten Köderseiten indizieren. Dadurch werden die Suchergebnisse verfälscht, so dass die URLs kompromittierter Websites bei der Suche nach Produktnamen X, die sie eigentlich nicht handlen, auftauchen. In der Folge werden Suchmaschinenbenutzer auf dieser Websites weitergeleitet. Die SEO-Malware fängt dann den Request-Handler ab und leitet den Browser des Benutzers auf gefälschte E-Commerce-Seiten um. Die Technik, japanische Schlüsselwörter zu verwenden, um Suchergebnisse auf gefälschte japanische E-Commerce-Websites umzuleiten, ist bekannt als japanischer Keyword-Hack.
Analyse und Ergebnisse
Im Zuge der Analyse der Blackhat-SEO-Techniken sammelten die Forscher mit Hilfe von VirusTotal Daten von 227.828 gefälschten E-Commerce-Seiten, die von 1.242 Command-and-Control-Servern (C&C) von sechs SEO-Malware-Familien stammen (Tabelle 1 im Originalbeitrag). Nach der Erfassung aktualisierten wir sofort unsere Web Reputation (WRS)-Technologie, so dass sie diese Websites blockiert und den Zugriff der Benutzer auf sie verhindert.
Anschließend analysierten sie die Verbindungen zwischen ihnen mit dem Tool Maltego für Linkanalyse und erstellten einen Maltego-Graphen.
Die Ergebnisse des Experiments deuten darauf hin, dass drei Gruppen von Bedrohungsakteuren möglicherweise nur eine Malware-Familie verwenden, die für jede Gruppe einzigartig ist, während eine Gruppe mehrere Malware-Familien verwendet.
Durch die Untersuchung der Gruppen und der Daten von den gefälschten Shopping-Sites erhielten wir außerdem Einblicke in die Infrastruktur der kriminellen Gruppen: Während beispielsweise Malware A, C, D, E und F unabhängige Listen gefälschter Einkaufsseiten auf verschiedenen C&C-Servern verwalteten, schien Malware B eine Liste einiger großer gefälschter Einkaufsseiten auf allen C&C-Servern gemeinsam zu nutzen.
Schutz gegen E-Commerce-Betrug
E-Commerce-Nutzer müssen bei der Suche nach Produkten über Suchmaschinen und bei der erstmaligen Nutzung einer Shopping-Site sehr vorsichtig sein und auf verräterische Anzeichen für betrügerisches Verhalten achten, wie z. B.:
- Verdächtige URLs, die einen ungewöhnlichen Domänennamen enthalten,
- Preise, die im Vergleich zum üblichen Marktpreis des Produkts ungewöhnlich günstig sind,
- Produkte, die normalerweise nicht auf großen Shopping-Websites zu finden sind, aber mit einem Preisnachlass angeboten werden,
- Standorte, die eine große und vielfältige Produktpalette anbieten, obwohl es sich nicht um einen großen Einzelhandelsstandort handelt,
- Websites, die sich als eine große Marke ausgeben,
- Websites, die vorgeben ein „Fachgeschäft“ zu sein, aber völlig unterschiedliche Artikel verkaufen,
- Die Informationen auf der Website stimmen nicht mit den Informationen und dem Standort des Unternehmens überein
Benutzer können Trend Micro Check verwenden, um die Legitimität einer Website-Adresse zu überprüfen. Darüber hinaus schützt der Web Reputation Service (WRS) die Benutzer vor gefälschten Shopping-Sites, indem er den Zugriff auf Websites blockiert, die Trend Micro als gefälschte Shopping-Sites bestätigt.
Webadministratoren sollten stets auf den Diebstahl von Konten und die Schwachstellen von Websites achten, um Manipulationen an Websites zu verhindern. Sie sollten sich stets über die neuesten Schwachstellen informieren und ihre Kennwörter sollten sehr komplex sein.