趋势科技与日本合作伙伴揭示SEO恶意软件操作间的隐藏关联

趋势科技研究人员与日本当局合作，分析了在SEO投毒攻击中使用的SEO恶意软件家族之间的关联，这些攻击将用户引导至虚假购物网站。

摘要

趋势科技与香川大学、神奈川县警察总部、千叶县警察总部及日本网络犯罪控制中心（JC3）联合开展研究，调查了多个SEO恶意软件家族之间的关系。
他们的研究揭示了威胁行为者如何利用SEO投毒技术将用户重定向至虚假电商网站。
研究识别出三组威胁行为者，每组使用独特的恶意软件家族，而其中一组使用多个恶意软件家族。
进一步分析还显示，一个恶意软件家族的C&C服务器共享少量大型虚假电商网站集合，而其他恶意软件家族则管理独立的列表。
这些发现已在2024年第七届IEEE可信与安全计算会议上深入展示，并荣获最佳论文奖。

虚假电商诈骗与SEO投毒技术

近年来，旨在欺诈用户或窃取个人信息的虚假电商网站数量不断增加，给社会造成重大财务损失。在日本，据JC3报告，2023年向JC3报告的虚假电商网站数量从上一年的28,818个增至47,278个。
部分虚假电商网站背后的威胁行为者在受感染网站中安装恶意软件，用于黑帽SEO目的：恶意软件进行SEO投毒，使搜索引擎显示威胁行为者的诱饵页面，仿佛这些页面位于受感染网站上。诱饵页面随后将搜索引擎的访问者重定向至虚假电商网站，以潜在受害用户。
这些SEO恶意软件安装在受感染网站中，拦截Web服务器请求并返回恶意内容。通过这种方式，威胁行为者可以向搜索引擎发送精心制作的站点地图，并索引生成的诱饵页面。这污染了搜索结果，使受感染网站的URL出现在它们实际不处理的商品名称搜索中。因此，搜索引擎用户被引导访问这些网站。SEO恶意软件随后拦截请求处理程序，并将用户的浏览器重定向至虚假电商网站。特别是，使用日语关键词将搜索结果重定向至虚假日本电商网站的技术被称为“日语关键词黑客”。

分析与结果

在本研究中，我们专注于这种黑帽SEO技术，旨在揭示其背后威胁行为者的特征。为此，我们从六个SEO恶意软件家族（表1）的1,242个命令与控制（C&C）服务器收集了227,828个虚假电商网站的数据。收集后，我们立即改进了我们的Web信誉（WRS）技术，以阻止这些网站并防止用户访问它们。

表1. 从VirusTotal发现的SEO恶意软件家族

然后，我们使用流行的链接分析工具Maltego分析了它们之间的链接。我们定义了四个链接来创建Maltego图，如图1所示。实验结果（图2）表明，三组威胁行为者可能每组仅使用一个独特的恶意软件家族，而一组使用多个恶意软件家族。

下载

下载

此外，通过检查从此分析中获得的组以及虚假购物网站的数据，我们深入了解了犯罪团伙的基础设施：例如，虽然恶意软件A、C、D、E和F在不同的C&C服务器上管理独立的虚假购物网站列表，但恶意软件B似乎在C&C服务器之间共享少量大型虚假购物网站的列表。

保护用户免受电商诈骗

电商用户在使用搜索引擎寻找商品时以及首次使用购物网站时需要非常谨慎，以避免成为虚假购物网站的受害者。他们应检查欺诈行为的迹象，例如：

• 包含不常见域名的可疑URL
• 价格相比商品通常市场价格异常便宜
• 通常不在主要购物网站上看到但正在打折销售的商品
• 尽管不是主要零售网站，但处理大量多样化产品的网站
• 冒充主要品牌的网站
• 声称是“专卖店”但销售完全无关商品的网站
• 网站信息与公司信息和位置不匹配

用户可以使用趋势科技Check验证网站地址的合法性。此外，趋势科技的Web信誉服务（WRS）通过阻止访问趋势科技确认为虚假购物网站的任何网站来保护用户。
网站管理员应始终警惕账户盗窃和网站漏洞，以防止网站篡改。管理员应及时了解有关漏洞的最新消息，并使用高度复杂的密码。趋势科技Deep Security™还提供虚拟补丁来防御未修补漏洞的服务器，并具有监控意外系统变化的功能，以早期检测和处理可疑活动。
趋势科技将继续与各种组织密切合作，解决虚假购物网站造成的损害，履行我们保护当今互联世界的使命。