Posicionamiento SEO Poisoning, un malware que se propaga

8 Feb, 2022

Recientes acontecimientos relativos al SEO Poisoning han creado un ambiente de tensión entre las altas esferas del Posicionamiento SEO debido a su peligrosidad y, sobre todo, a que nadie sabe cómo acabará.

Es por ello que en el artículo de hoy intentaremos aclarar todo lo relacionado con el concepto SEO Poisoning, así como explicar todo lo que sabemos sobre el caso de SolarMarket, un malware que ha logrado poner en jaque a la todopoderosa Google.

¿Qué es el SEO Poisoning?

SEO Poisoning

Cuando hablamos de Posicionamiento SEO Poisoning o envenenamiento SEO debemos saber que se trata de un término usado para definir dos tipos de actividades diferenciadas:

1. Técnicas ilegítimas utilizadas para lograr una alta clasificación en los motores de búsqueda, las cuales suelen ser usadas para atacar a los visitantes.
2. Explotar las vulnerabilidades en sitios web de alto rango con el fin de propagar un malware.

Viendo esto seguro que ya te haces una idea del porqué el SEO Poisoning tiene tan preocupados a los gigantes del marketing digital…

Un problema adicional es que no se trata de una técnica de Black Hat SEO que sólo usen los sitios web maliciosos, si no que además puede ser utilizado por sitios web legítimos con el fin de aumentar su clasificación, lo cual dificulta aún más su seguimiento. Sin embargo, si la intención es maliciosa, el objetivo del atacante es instalar un malware como por ejemplo los troyanos.

Dado que el objetivo del SEO Poisoning es tratar de llegar al máximo número de personas de la forma más rápida y sencilla posible, suelen centrar sus ataques en keywords que sean tendencia en ese momento.

Por ejemplo, hace poco se localizaron ataques de SEO Poisoning durante la erupción de un volcán en Palma, España. El ataque se centró en keywords como “ayuda a Palma”, con el objetivo de que las víctimas de su estafa enviaran ayuda económica a supuestas cuentas para ayudar a la población de Palma, cuando en realidad se trataba de cuentas falsas. También se han registrado ataques durante las principales campañas políticas, así como en otros eventos mundiales de gran importancia.

Todo esto, aunque preocupante, ya se sabía. Sin embargo, recientemente se ha registrado un ataque sin precedentes que ha dejado un panorama pocas veces visto con anterioridad.

Hablamos como no, del malware SolarMarker…

¿Qué es el malware SolarMarker y cómo se propaga?

Posicionamiento SEO Poisoning

Hace apenas una semana, una empresa británica puntera dedicada a los software y hardware de seguridad llamada Sophos descubrió un nuevo enfoque en el malware llamado SolarMarker, el cual se estaba distribuyendo a través de Google Groups gracias a una falsa campaña de SEO, además de incluir archivos PDF maliciosos para ser descargados por los usuarios desprevenidos.

Lo increíble de todo esto, es que según una investigación de Sophos, el creador del malware ha asociado su propia marca al SEO Poisoning para distribuir los archivos maliciosos…

En su último informe, Sophos se refiere a SolarMarker como un malware de puerta trasera dedicado al robo de información que fue detectado por primera vez a finales de 2020.

El malware SolarMarker por lo general se instala cuando los usuarios visitan un resultado de búsqueda de Google que previamente ha sido posicionado en las primeras posiciones de búsqueda gracias a técnicas de Black Hat SEO. Estos enlaces están diseñados para que el usuario descargue un instalador falso de Windows que ejecuta un script de PowerShell.

Si bien el SEO Poisoning ya era preocupante pero al menos parecía estar medio controlado, la efectividad de este enfoque particular creado por SolarMarker es algo que nadie se esperaba y ha hecho mucho daño.

En el informe publicado por Sophos se puede leer:

“Este ataque de SEO Poisoning, en el cual han aprovechado una combinación de discusiones de Google Groups, páginas web engañosas y documentos PDF alojados en sitios web comprometidos (por lo general WordPress), fueron tan efectivos que los señuelos de SolarMarker estaban casi siempre en la primera posición de los resultados de búsqueda de las keywords que SolarMarker seleccionó para realizar sus ataques”.

Esta es una de las razones por las que este ataque ha sido tan inusual, ya que la mayoría de ataques han venido de operaciones de “descarga como servicio” y no de operadores individuales.

Antes el SEO Poisoning solía ser una técnica mucho más común, pero recientemente se veía menos porque no es tan efectivo para los ataques dirigidos. La mayor parte del envenenamiento SEO que vemos a día de hoy es parte de los servicios de distribución de malware de pago, los cuales son vistos como una pequeña parte de las operaciones de malware relacionadas con el robo de información y el criptofraude. Y es que es raro que un operador de malware cree su propia estructura de SEO Poisoning, pero como nos ha demostrado el malware SolarMarker, esto sigue ocurriendo.

En el informe se citan tres métodos diferentes de manipulación del posicionamiento SEO con los que distribuir SolarMarker:

1. En el primero los atacantes crearon grupos de Google con alrededor de 500 publicaciones falsas con diferentes usuarios para crear una falsa imagen de actividad. A continuación incluyeron enlaces PDF en los comentarios que redirigían a instalaciones maliciosas.

2. En su segundo método, los atacantes de SolarMarker crearon un archivo PDF malicioso para posteriormente posicionarlo en los resultados de búsqueda. El PDF contenía enlaces a otros PDF o a descargas de contenidos, los cuales ya si redirigían a un instalador de Windows falso.

3. Con el tercer método, los atacantes hicieron uso de sitios web engañosos creados con WordPress que contenían código HTML. La fuente HTML de estas páginas maliciosas contenían enlaces para otros términos de búsqueda, todos conectados a otras páginas maliciosas en el mismo servidor comprometido, como parte del mecanismo detrás de la campaña de SEO fraudulenta que llevaron a cabo.

Entre las keywords que SolarMarker atacó se encuentran “acceso universidad”, “solicitud laboral” y “cómo hacer currículum”. Pues bien, este ataque de SEO Poisoning fue tan efectivo que algunos términos de búsqueda colocaron enlaces para las tres keywords enumeradas dentro de los 10 primeros resultados de búsqueda de Google.

Según Sophos, los cuales detectaron este cambio de patrón en SolarMarker por primera vez en octubre de 2021, parece ser que la campaña ha cesado, aunque reconocen que la amenaza sigue vigente:

“Actualmente no hay campañas activas de propagación de SolarMarker, ya que se cerró la web de descarga final que utilizaban los atacantes. Sin embargo las implementaciones de SolarMarker permanecen activas, y aunque hemos visto una disminución en las detecciones del malware desde noviembre de 2021, el malware no ha desaparecido. Puede ser solo cuestión de tiempo antes de que se lance una nueva campaña que utilice una nueva infraestructura”.

Este caso tan particular ha hecho que los operadores de motores de búsqueda se devanen los sesos en busca de una solución al problema. Según el informe, tanto Google como otros operadores de motores de búsqueda están ajustando sus algoritmos con el fin de buscar webs fraudulentas enfocándose en grupos de enlaces de términos de búsqueda no relacionados con la página y degradando su rango de página o marcándolos como spam potencial, además de seguir enlaces más profundos en la indexación para así localizar descargas de archivos no relacionados.