Iranska grupa koristi SEO trikove da širi malver kroz lažnu stranicu
Iranska APT grupa koristi SEO manipulaciju da zarazi korisnike koji pretražuju SQL Developer kroz lažnu instalaciju sa malverom MiniFast.
Šta se desilo?
Iranska grupa povezana sa Islamskom revolucionom gardskom jedinicom (IRGC), poznata kao Nimbus Manticore, razvila je novu takitku napada. Umesto tradicionalnih phishing mejlova, grupa je registrovala lažnu veb stranicu koja oponaša zvaničnu stranicu za preuzimanje Oracle SQL Developer alata. Stranica je optimizovana za pretraživače pomoću SEO trikova da se pojavi na vrhu rezultata pretraživanja, a korisnici koji su preuzeli instalera dobijali su ugrađeni malver nazvan MiniFast.
Koga pogađa?
Primarni cilj napada su stručnjaci zaposleni u softverskim kompanijama i avio-industriji. Međutim, svako ko pretražuje "SQL Developer" i klikne na lažnu vezu rizikuje da instalira malver. Napadi su detektovani između februara i aprila 2026. godine kroz tri talasa, poklapajući se sa vojnom kampanjom poznatom kao Operation Epic Fury.
Kako se zaštititi?
- Preuzimajte softver isključivo sa zvaničnih veb sajtova proizvođača - provjerite URL adresu pre nego što kliknete
- Budite skeptični prema rezultatima pretraživanja - lažne stranice mogu biti na vrhu rezultata
- Koristite sigurnosne alate koji detektuju maliciozne sajtove i blokiraju ih
- Proverite digitalne potpise instalera pre nego što ih pokrenete
- Ažurirajte operativni sistem i sigurnosni softver redovno
- Razmotrite korišćenje VPN servisa koji štiti od SEO otrovanju
Tehnički detalji
Napadi koriste tehniku poznatu kao AppDomain hijacking koja iskorišćava način na koji .NET runtime učitava datoteke sa konfiguracijom aplikacija. Maliciozna DLL datoteka se izvršava u kontekstu legitimnog, pouzdanog procesa što omogućava skrivenu instalaciju bez rane detekcije. Grupa je registrovala lažnu domen adresu getsqldeveloper[.]com i dezine pristrasnih domena koje su pokazivale na glavni napad, pojačavajući rangiranje kroz link signale. U vreme analize, lažna domena je bila vidljiva blizu vrha rezultata na Bing i DuckDuckGo pretraživačima.
Preporuka Sajber Radara
Ovaj vid napada pokazuje koliko su napredni protivnici spremni da adaptiraju svoje metode. Važno je da korisnici i organizacije ostanu svesni da zloupotrebljeni SEO rezultati mogu biti put do malodera, a da preuzimanje softvera zahteva dodatnu pažnju i proveru legitimnosti izvora.
