Zscaler-onderzoekers concluderen: Internet barst van de besmette SEO URL’s

Amsterdam – Het ThreatLabZ onderzoeksteam van Zscaler presenteert de resultaten van zijn onderzoek naar SEO poisoning-campagnes. Er is specifiek onderzoek gedaan in aanloop naar de ‘midterm elections’ in de Verenigde Staten. Een van de conclusies uit het onderzoek is dat aanvallers steeds vaker gebruikmaken van populaire zoektermen zoals vakantiedagen, evenementen of andere gebeurtenissen waar frequent op gezocht wordt voor SEO poisoning.

SEO poisoning, ook wel bekend als search engine poisoning, is een aanvalsmethode waarbij webpagina’s worden geladen met trending keywords om zoekmachines voor de gek te houden en een hoge(re) ranking in de zoekresultaten te verkrijgen. Enkele SEO poisoning-technieken zijn keyword stuffing, het gebruik van hidden text en cloaking. Naast het manipuleren van zoekmachine-ranking is SEO poisoning ook een veelgebruikte methode om gebruikers door te sturen naar ongewenste applicaties, porno en advertenties, en voor verspreiding van malware, exploit kits en phishing.

Duizenden besmette websites

Ongeveer een maand nadat het onderzoeksteam van Zscaler voor het eerst de SEO poisoning-campagne rondom de verkiezingen onderzocht, vonden zij meer dan tienduizend besmette websites met gezamenlijk meer dan vijftienduizend keywords. Op basis van de geanalyseerde webpagina’s onderscheidt TrendLabZ twee technieken:

• Gebruikers worden door een serie van redirects geleid voordat zij de definitieve landingspagina bereiken.
• Gebruikers worden naar een MaaS (Malware-as-a-Service) platform geleid dat vervolgens een andere redirection chain start die leidt naar de definitieve landingspagina.

SEO poisoning via de cloaking-methode

Aanvallers maken regelmatig gebruik van cloaking-technieken waarbij eindgebruikers verschillende content te zien krijgen, afhankelijk van de HTTP headers die opgevraagd worden tijdens het webverzoek. ThreatLabZ onderscheidt hierbij drie varianten:

• Crawler view: De SEO URL beantwoordt een web-verzoek dat gericht is op poisoning van de zoekresultaten van het desbetreffende zoekwoord. Dit zorgt ervoor dat de URL hoger scoort in de zoekresultaten.
• Browser/user view: De SEO URL leidt gebruikers door een serie redirects voordat zij op de definitieve landingspagina terecht komen. Als de user-agent string behoort tot een bekende webbrowser, dan wordt de user view content getoond in plaats van de crawler view content.
• Referer view: De SEO URL toont verschillende content aan eindgebruikers, afhankelijk van de URL in de referer HTTP header.

SEO poisoning zonder cloaking

Als een aanvaller geen gebruik maakt van de cloaking-techniek, dan is de content die wordt opgehaald door de search engine crawler (‘crawler view’) gelijk aan de content die een gebruiker ziet (‘direct view’). De SEO-pagina heeft in dergelijke gevallen een script dat achterhaalt of een pagina in een browser opgevraagd wordt door echte gebruikers zodat deze vervolgens, in tegenstelling tot een crawler, geredirect worden naar de uiteindelijke landingspagina met kwaadaardige content. Een andere mogelijkheid is dat een SEO-pagina pas redirect naar de uiteindelijke landingspagina als een pagina wordt weergegeven in een internetbrowser of nadat een gebruiker een actie uitvoert, zoals een muisbeweging. Crawlers worden niet geredirect naar die landingspagina aangezien een crawler geen gebruikersinteractie uitvoert en/of er bij een crawler geen sprake is van browser-rendering.

Genereren van SEO URL’s en SEO-webpagina’s

Een SEO poisoning-campagne gebruikt verschillende parameters om URL’s te genereren. Het onderzoeksteam van Zscaler heeft honderden unieke parameters ontdekt en schat dat er honderden miljoenen SEO URL’s gegenereerd worden voor elk van die parameters. Het TrendLabz-team heeft, na analyse van de webpagina’s in het onderzoek, inzicht verkregen in de drie stappen waarin SEO-pagina’s gegenereerd worden:

1. Bepalen van een keyword op basis van ‘search keywords’, waar vervolgens op wordt gezocht in een zoekmachine.
2. Verzameling van antwoorden die het keyword bevatten.
3. Genereren van een definitieve reactie met daarin tekststrings van eerder verzamelde antwoorden.

Websites beschermen tegen SEO poisoning

ThreatLabz registreert gemiddeld meer dan drieduizend nieuwe en unieke SEO poisoned URL’s per dag. Het onderzoeksteam blijft proactief controleren op eventuele bedreigingen en beschermt Zscaler-klanten blijvend tegen veiligheidsrisico’s. Door PHP- of ZIP-bestanden in een website te controleren, kunnen bedrijven achterhalen of hun eigen website mogelijk is aangetast door SEO poisoning.

Lees meer over dit onderzoek van ThreatLabZ in het Engelstalige blog van Zscaler.