這些發現都詳細發表在 2024 年第 7 屆 IEEE「可靠而安全的運算」(Dependable and Secure Computing) 研討會上,並榮獲最佳論文獎 (Best Paper Award)。
趨勢科技研究人員最近執行了一項研究專案來探討多個黑帽駭客搜尋引擎最佳化 (SEO) 惡意程式家族之間的關係。藉由分析來自各種 SEO 惡意程式與假購物網站的之間的幕後操縱 (CC) 伺服器資料,他們找出了幾個不同的 SEO 惡意程式家族集團,以及這些家族如何共用基礎架構來讓其 SEO 毒化攻擊發揮最大成效,以及這些惡意程式在電子商務聯合詐騙中所扮演的角色。
這項專案是與日本多家機構合作共同執行,分別為:香川大學 (Kagawa University)、神奈川縣警察本部 (Kanagawa Prefectural Police Headquarters)、千葉縣警察本部 (Chipa Prefectural Police Headquarters) 以及日本網路犯罪管制中心 (Japan Cybercrime Control Center,簡稱 JC3)。其研究報告的標題為「利用假電子商務詐騙網站重導資訊分析黑帽駭客 SEO 惡意程式家族之間的關係」(An analysis of the relationship between Black-hat SEO malware families leveraging information from redirected fake E-commerce scam sites),發表在第 7 屆 IEEE「可靠而安全的運算」(Dependable and Secure Computing) 研討會 (DSC2024),研究人員因其貢獻而榮獲了「最佳論文獎」(Best Paper Award )。
某些假電子商務網站背後的駭客集團會在已遭駭入的網站上安裝惡意程式來用於 SEO 毒化:這些惡意程式會執行 SEO 毒化攻擊,讓搜尋引擎顯示駭客的誘餌頁面,這些頁面看起來就像是已遭入侵的網站上的網頁一樣。接著,誘餌網頁會將使用者從搜尋引擎帶到假電子商務網站,進而受害。在這份研究中,我們主要探討使用這類手法的駭客集團,並將已遭入侵的網站上執行的這類惡意程式稱為「SEO 惡意程式」。
這些 SEO 惡意程式會被安裝到已遭入侵的網站上,來攔截網站伺服器收到的請求,並傳回惡意內容。如此一來,駭客就能發送一份精心製作的網站地圖給搜尋引擎,幫其產生的誘餌網頁製作索引。如此就能污染搜尋結果,讓被駭入的網站網址出現在某些產品的搜尋結果中,但他們實際上並沒有這些產品。結果,搜尋引擎的使用者就會被引導至這些網站。接著,SEO 惡意程式會攔截網站請求處理程序,將使用者的瀏覽器導向假電子商務網站。尤其,駭客會所謂的日文關鍵字詐騙技巧,使用日文關鍵字將搜尋結果重導至假的日本電子商務網站。
分析與結果
在這份研究中,我們主要探討這項黑帽駭客 SEO 技巧,目的是要讓大家知道其幕後駭客集團的特徵。為此,我們從 6 個 SEO 惡意程式家族的 1,242 個 CC 伺服器蒐集了 227,828 個假電子商務網站的資料 (表 1)。蒐集之後,我們馬上改進了我們網站信譽評等服務 (WRS) 的技術來攔截這些網站以防止使用者存取。
惡意程式家族識別碼 (ID)
識別特徵
A
CC 主機的格式為「<four digits>-ch4-v<two or three digits>」,其中的數字會隨著時間而增加,有時,會套用某種加密編碼演算法。
B
透過 HTTP POST 請求與 CC 伺服器通訊,CC 伺服器網址含有一個像「z<five digits> <one or two digits>」這樣的字串。
台灣發生過的案例:
獨家 AI 隱私權分析技術 讓您的個資,由你自己掌握