کمپین آلودهسازی سئو بدافزار Bumblebee، با هدف جعل هویت RVTools از دامنههای typosquatting استفاده میکند و از سایر پروژههای متنباز محبوب به منظور آلوده کردن دستگاههای مورد استفاده کارکنان IT تقلید میکند.
بر اساس مشاهدات اخیر BleepingComputer، دو کمپین در حال سواستفاده از شهرت Zenmap، رابط کاربری گرافیکی ابزار اسکن شبکه Nmap و ابزار ردیابی WinMTR هستند. این ابزارها معمولاً توسط کارکنان IT جهت تشخیص یا تجزیه و تحلیل ترافیک شبکه استفاده میشوند و برای کار کردن برخی از ویژگیها به دسترسیهای مدیریتی نیاز دارند. این امر کاربران ابزارهای مذکور را به اهداف اصلی عوامل تهدیدی تبدیل میکند که به دنبال هک شبکههای شرکتی و گسترش جانبی به سایر دستگاهها هستند. لودر بدافزار Bumblebee حداقل از طریق دو دامنه – zenmap[.]pro و winmtr[.]org – منتقل شده است. با این حال، وقتی کاربران از نتایج جستجو به zenmap[.]pro هدایت میشوند، یک کپی از وبسایت قانونی ابزار nmap (Network Mapper) نمایش داده میشود. این دو سایت از طریق آلودهسازی سئو ترافیک دریافت کردهاند و در بازیابی نتایج جستجوی گوگل و بینگ برای کلیدواژههای مرتبط رتبه بالایی دارند. نصبکنندهها برنامه وعده داده شده را همراه با DLL مخرب ارائه میدهند، مانند مورد RVTools که لودر Bumblebee را روی دستگاههای کاربران قرار میدهد. پس از آن، استفاده از دربپشتی و معرفی پیلودهای اضافی شامل سارقان اطلاعات، باجافزار و سایر انواع بدافزار امکانپذیر میشود.
https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/
