駭客利用Google SEO提高受駭網站搜尋排序散播惡意程式

• 發布日期：108-11-28
• 發布單位：刑事警察大隊

思科(Cisco)旗下的安全研究團隊Talos於11/2揭露一新型態的金融木馬散播途徑，顯示駭客直接入侵合法網站，同時利用Google搜尋結果來觸及受害者，而非利用網釣或是零時差漏洞等傳統手法來散播惡意程式。駭客的作法是先列出熱門的關鍵字名單，這份名單是根據使用者最常搜尋的金融相關字串進行最佳化，且鎖定印度與中東市場。駭客繼之入侵高評價的合法網站，並嵌入上述的熱門關鍵字以協助受駭網站進行搜尋引擎最佳化(Search Engine Optimization, SEO)，確保它們在搜尋引擎的搜尋結果中排名很高，從而增加了被潛在受害者點擊的可能性。

Talos是從駭客所選擇的關鍵字來判斷駭客的目標對象，例如「印度karur vysya銀行的帳號有幾個數字？」，或是「沙烏地阿拉伯銀行al rajhi在齋戒月的營業時間？」。研究顯示，搜尋引擎用戶通常只點選搜尋結果中的前幾筆連結，才使得SEO愈來愈盛行，而Talos亦發現，駭客有本事讓搜尋結果的第一頁就出現多筆惡意網頁。當使用者點選了被駭客操縱的網頁之後，最終會被引導至下載惡意的Word文件，執行後就會被植入Zeus Panda金融木馬。Zeus Panda整合了多項技術以閃避偵測，並於適當時機竊取使用者的金融或其他機密憑證。由於手法新穎且攻擊效果佳，Talos呼籲使用者應提高警覺，在瀏覽網際網路時多加留意。
資料來源參考：
http://blog.talosintelligence.com/2017/11/zeus-panda-campaign.html
https://www.scmagazine.com/hackers-find-an-evil-use-for-seo/article/705363/
http://www.zdnet.com/article/google-search-results-poisoned-by-banking-trojan-attackers-clever-seo/
https://www.ithome.com.tw/news/118054
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16026