Тези кражби на данни и злонамерен софтуер се разпространяват по необичаен начин

Нападателите зад зловредния софтуер, известен като SolarMarker, използват PDF документи, пълни с ключови думи за оптимизация на търсачките (SEO), за да подобрят видимостта си в търсачките, за да доведат потенциалните жертви до зловреден софтуер на злонамерен сайт, който се представя като Google Drive.

Според Microsoft, SolarMarker е backdoor зловреден софтуер, който краде данни и идентификационни данни от браузърите.

SEO отравянето е техника от старата школа, която използва търсачки за разпространение на зловреден софтуер. В този случай нападателите използват хиляди PDF файлове, пълни с ключови думи и връзки, които пренасочват непредпазливите през множество сайтове към такъв, който инсталира зловредния софтуер.

„Атаката работи, като използва PDF документи, предназначени да се класират в резултатите от търсенето. За да постигнат това, нападателите подплатиха тези документи с> 10 страници ключови думи по широк спектър от теми, от„ застрахователна форма “и„ приемане на договор “до„ как да се присъедините към SQL “и” математически отговори “,” каза Intelligence Intelligence в туит.

Crowdstrike вдигна аларма за SolarMarker през февруари за използване на същата тактика на SEO отравяне. Зловредният софтуер е насочен предимно към потребители в Северна Америка.

Нападателите хостваха страници в Google Sites като примамка за злонамерени изтегляния. Сайтовете насърчават изтеглянето на документи и често са високо класирани в резултатите от търсенето, отново за да повишат класирането при търсене.

Изследователите на Microsoft установиха, че нападателите са започнали да използват Amazon Web Services (AWS) и услугата Strikingly, както и Google Sites.

“Когато се отворят, PDF файловете подканват потребителите да изтеглят .doc файл или .pdf версия на желаната от тях информация. Потребителите, които щракнат върху връзките, се пренасочват през 5-7 сайта с TLD, като .site, .tk и .ga,” Microsoft каза.

„След множество пренасочвания потребителите достигат до контролиран от нападателя сайт, който имитира Google Drive, и са помолени да изтеглят файла.“

Това обикновено води до зловреден софтуер SolarMarker / Jupyter, но Microsoft също е видяла случайни файлове да се изтеглят като част от очевиден метод за избягване на откриването, добави той.

Той дефилтрира откраднати данни към сървър за управление и управление и продължава, като създава преки пътища в папката за стартиране, както и модифицира преки пътища на работния плот.

„Данните на Microsoft 365 Defender показват, че техниката на SEO отравяне е ефективна, като се има предвид, че Microsoft Defender Antivirus е открил и блокирал хиляди от тези PDF документи в множество среди“, каза Microsoft.



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com