安全研究人员发现了一种新颖的恶意软件分发机制，该机制在欺骗Google著名的SEO(搜索引擎优化)算法后，可攀升至所有搜索结果的顶部。虽然Gootkit恶意软件本身已经存在了好几年，并且在过去已经由网络安全公司Sophos进行了分析，但它是其新的分发机制，为它赢得了绰号Gootloader，并且是最近分析的主题。

“ Gootloader使用恶意搜索引擎优化(SEO)技术来压缩Google搜索结果。Sophos表示：“它完成这项任务的方式值得我们讨论，因为它围绕技术以及人类心理来解决问题。”

研究人员估计，在破坏分发机制的过程中，该恶意软件的运营商运行着由约400台服务器组成的网络，这些服务器为合法网站的被黑客入侵的版本提供服务。

为了说明这种方法的有效性，研究人员发布了屏幕截图，显示了Google返回由恶意软件运营商运营的网站之一的第一个结果。更令人印象深刻的是，被黑客入侵的网站属于一家新生儿诊所，而搜索查询则以房地产为中心。

当被点击时，被黑客入侵的网站似乎会合法地提供搜索查询的答案，这将涉及下载一个zip文件，该文件显然包含恶意软件。

研究人员认为，根据他们的分析，许多被黑客入侵的网站都在运行知名的内容管理系统(CMS)，而没有对其进行命名。威胁行动者已经对后端进行了调整，以获取并运行脚本，以使网站根据受害者的搜索查询显示原始信息的略微修改版本。

研究人员指出，这种新机制不仅用于传播Gootkit，而且还用于传播其他几种特洛伊木马和勒索软件，例如Kronos，REvil，Cobalt Strike等。

Sophos声称，正是这种技巧的层层使这种传递机制如此有效。“在某些时候，如果最终用户认识到这些迹象，就有可能避免感染。问题在于，即使训练有素的人也容易被Gootloader的创作者所使用的一系列社会工程技巧所愚弄。”研究人员认为。