Angripere bak skadelig programvare kjent som SolarMarker bruker PDF-dokumenter fylt med søkeordoptimaliseringsnøkkelord (SEO) for å øke synligheten deres på søkemotorer for å lede potensielle ofre til skadelig programvare på et ondsinnet nettsted som utgjør som Google Drive.
Ifølge Microsoft er SolarMarker en skadedyr som stjeler data og legitimasjon fra nettlesere.
SEO-forgiftning er en gammeldags teknikk som bruker søkemotorer til å spre skadelig programvare. I dette tilfellet bruker angriperne tusenvis av PDF-filer fylt med nøkkelord og lenker som omdirigerer det uforsiktige over flere nettsteder mot en som installerer skadelig programvare.
“Angrepet fungerer ved å bruke PDF-dokumenter som er utformet for å rangere i søkeresultatene. For å oppnå dette, angrepere angrep disse dokumentene med & gt; 10 sider med nøkkelord på et bredt spekter av emner, fra” forsikringsskjema “og” aksept av kontrakt “til” hvordan bli med i SQL “og” matematiske svar “, sa Microsoft Security Intelligence i en tweet.
Crowdstrike alarmerte i februar om SolarMarker for å bruke den samme SEO-forgiftningstaktikken. Skadelig programvare retter seg hovedsakelig mot brukere i Nord-Amerika.
Angriperne var vert for sider på Google Nettsteder som lokker for ondsinnede nedlastinger. Nettstedene markedsførte nedlastinger av dokumenter og ble ofte høyt rangert i søkeresultatene, igjen for å øke søkerangeringen.
Microsoft-forskere fant at angriperne har begynt å bruke Amazon Web Services (AWS) og Strikingly's service så vel som Google Sites.
“Når PDF-ene åpnes, blir brukerne bedt om å laste ned en .doc-fil eller en .pdf-versjon av ønsket informasjon. Brukere som klikker på koblingene blir omdirigert gjennom 5 til 7 nettsteder med TLD-er som .site,. tk og .ga, sa Microsoft.
“Etter flere omdirigeringer når brukerne et angriperstyrt nettsted, som etterligner Google Drive, og blir bedt om å laste ned filen.”
Dette fører vanligvis til skadelig programvare fra SolarMarker/Jupyter, men Microsoft har også sett tilfeldige filer som blir lastet ned som en del av en tilsynelatende metode for å unngå deteksjon, la den til.
Den eksfiltrerer stjålne data til en kommando-og-kontroll-server og vedvarer ved å opprette snarveier i oppstartsmappen, samt endre snarveier på skrivebordet.
Sikkerhet
De beste nettleserne for personvern: Bla sikkert på det store dårlige internett Cybersikkerhet 101: Beskytt personvernet ditt mot hackere, spioner og myndighetene De beste antivirusprogramvarene og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for to-faktor autentisering Ransomware: Gjør disse tre tingene for å beskytte nettverket ditt mot angrep (ZDNet YouTube)
“Microsoft 365 Defender-data viser at SEO-forgiftningsteknikken er effektiv, gitt at Microsoft Defender Antivirus har oppdaget og blokkert tusenvis av disse PDF-dokumentene i mange miljøer, “sa Microsoft.
Beslektede emner:
Security TV Data Management CXO Data Centers 