Attacco SEO poisoning con binario Microsoft per installare tool RMM

Attenzione: se stai cercando TestDisk per recuperare dati, vai sempre sul sito ufficiale CGSecurity e non cliccare su link da risultati di ricerca sospetti. Questo attacco inganna gli utenti con un sito falso che promette il tool open-source di recupero dati, ma installa malware per dare accesso remoto ai criminali.

In poche parole, i cybercriminali manipolano i risultati di Google per far apparire un sito clone tra i primi posti. L’utente scarica un file ZIP che sembra innocuo, ma attiva un processo subdolo sfruttando software legittimo Microsoft. La soluzione rapida? Usa solo download ufficiali e verifica le firme digitali dei file.

Cos’è l’attacco SEO poisoning?

L’avvelenamento SEO è una tecnica usata dai malviventi per manipolare i motori di ricerca. Creano siti web che imitano quelli legittimi e li ottimizzano per apparire in cima ai risultati. In questo caso, chi cerca TestDisk – un popolare strumento gratuito per recuperare partizioni e dati – finisce su un dominio falso come testdisk.dev.

Il sito copia fedelmente il design originale, con slogan accattivanti come “La soluzione definitiva open-source per il recupero di dati e partizioni”. Offre un bottone per scaricare gratuitamente TestDisk 7.2 o 7.3. Ma è una trappola.

Come funziona il download malevolo

Cliccando sul bottone, un JavaScript offuscato genera un URL temporaneo verso un server di consegna, come direct-download.gleeze.com. Questo evade i blocchi basati su URL statici. L’utente riceve un archivio ZIP con testdisk-7.3.exe, che sembra un installer standard.

In realtà, questo eseguibile è un binario Microsoft legittimo e firmato, rinominato per ingannare. Quando lo avvii, cerca una DLL companion nella stessa cartella e la carica. Qui entra in gioco autorun.dll, una DLL malevola piazzata dagli attaccanti.

Perché il binario Microsoft è pericoloso?

Poiché l’eseguibile è firmato da Microsoft, molti antivirus e difese lo considerano affidabile. Questo permette alla DLL malevola di eseguirsi con pochi allarmi. La DLL avvia la catena del payload:

• Scarica e installa una copia legittima di TestDisk per non insospettire l’utente.
• Installa componenti malware aggiuntivi per la persistenza.
• Dispiega un MSI che include TestDisk e un client trojanizzato di ScreenConnect.

ScreenConnect è un tool RMM (Remote Monitoring and Management) legittimo usato da team IT. Qui diventa un RAT (Remote Access Trojan), connettendosi a server controllati dai criminali per dare accesso completo: trasferimento file, esecuzione comandi, movimento laterale in rete.

Perché ScreenConnect è una scelta furba?

I criminali non modificano il codice di ScreenConnect, usandolo così com’è. Essendo comune negli ambienti aziendali, si mimetizza tra attività amministrative normali. Se l’azienda non monitora strettamente i server RMM autorizzati, passa inosservato.

Da qui, gli attaccanti possono:

• Spingere altri tool malevoli.
• Rubare credenziali.
• Esfiltrare dati sensibili.
• Preparare ransomware.

Consigli pratici per proteggerti

• Naviga direttamente sui siti ufficiali: Per TestDisk, usa cgsecurity.org.
• Verifica sempre la firma digitale degli eseguibili.
• Evita download da risultati di ricerca non verificati.
• Usa antivirus aggiornati con rilevamento comportamentale.

Per le aziende:

• Mantieni un whitelist di server RMM autorizzati.
• Blocca domini relay ScreenConnect sconosciuti.
• Monitora installazioni RMM non approvate.

Approfondimenti sulle mitigazioni

Monitora accessi a domini sospetti e IP noti. Cerca DLL non firmate caricate da binari Microsoft, specialmente vicino a utility di recupero file. Addestra gli utenti a ignorare link SEO manipolati.

Approfondimento tecnico per esperti

Meccanismo di DLL sideloading

Il sideloading DLL sfrutta il fatto che molti eseguibili Windows cercano DLL nella directory corrente prima del PATH di sistema. Qui, testdisk-7.3.exe (in realtà msiexec.exe o simile Microsoft-signed) importa autorun.dll, che gli attaccanti forniscono.

La DLL malevola esegue codice in memoria con privilegi del processo host, bypassando molti controlli. Hash SHA-256 noto: 1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5.

Catena di infezione dettagliata

1. Luring: Ricerca “TestDisk” porta a testdisk.dev (rank alto via SEO poisoning).
2. Generazione URL: JS offuscato crea link one-time a gleeze.com.
3. Download: ZIP con exe renamed.
4. Esecuzione: Binario MS carica autorun.dll.
5. Payload: Download TestDisk legit + MSI con ScreenConnect trojanizzato.
6. C2: Client si registra su server attacker-controlled (es. IP 193.42.11.108).

Indicatori tecnici (IoC)

• Domini: testdisk.dev, direct-download.gleeze.com.
• IP: 193.42.11.108.
• File: testdisk-7.3.exe, autorun.dll.

Hunt e detection rules

Usa EDR per query come:

• Processi Microsoft-signed caricanti DLL non firmate.
• Traffico verso domini RMM non whitelisted.
• Nuove installazioni ScreenConnect su endpoint non gestiti.

Sigma rule esempio per DLL sideloading:

title: Microsoft Binary DLL Sideloading
id: ms-dll-side
status: stable
detection:
  selection:
    Image|endswith: '\setup.exe'
    LoadedDLLs|contains: 'autorun.dll'

Trend più ampi

Questo attacco riflette l’uso crescente di tool legittimi (living-off-the-land). ScreenConnect è popolare tra MSP, rendendolo ideale per blending. Monitora anche altri RMM come ConnectWise.

Per forensics: Analizza con Volatility memoria dump per hook DLL, o ProcMon per sideloading. Controlla registry per persistenza ScreenConnect (HKLM\SOFTWARE\ScreenConnect).

Proteggi con AppLocker policies per bloccare exe non trusted, e browser extensions anti-phishing.

Questo scenario evidenzia l’evoluzione delle tattiche iniziali: SEO poisoning è low-cost, high-reach. Integra threat intel in SIEM per proattività.

Fonte: https://gbhackers.com/seo-poisoning-attack/