Angribere bag malware kendt som SolarMarker bruger PDF-dokumenter fyldt med søgemaskineoptimering (SEO) nøgleord for at øge deres synlighed på søgemaskiner for at føre potentielle ofre til malware på et ondsindet websted, der udgør som Google Drev.
Ifølge Microsoft er SolarMarker en bagdør malware, der stjæler data og legitimationsoplysninger fra browsere.
SEO-forgiftning er en gammeldags teknik, der bruger søgemaskiner til at sprede malware. I dette tilfælde bruger angriberne tusindvis af PDF-filer fyldt med nøgleord og links, der omdirigerer det uforsigtige på tværs af flere sider mod en, der installerer malware.
“Angrebet fungerer ved hjælp af PDF-dokumenter, der er designet til at rangere på søgeresultaterne. For at opnå dette polstrede angribere disse dokumenter med & gt; 10 sider med nøgleord om en bred vifte af emner, fra” forsikringsformular “og” accept af kontrakt “til” hvordan man kan deltage i SQL “og” matematiske svar “,” sagde Microsoft Security Intelligence i en tweet.
Crowdstrike slog en alarm om SolarMarker i februar for at bruge den samme SEO-forgiftningstaktik. Malwaren er overvejende målrettet mod brugere i Nordamerika.
Angriberne var vært for sider på Google Sites som lokker til de ondsindede downloads. Webstederne promoverede dokumentdownloads og blev ofte højt rangeret i søgeresultaterne igen for at øge søgerangeringen.
Microsoft-forskere fandt ud af, at angriberne er begyndt at bruge Amazon Web Services (AWS) og Strikingly's service samt Google Sites.
“Når de åbnes, beder PDF'erne brugerne om at downloade en .doc-fil eller en .pdf-version af deres ønskede info. Brugere, der klikker på linkene, omdirigeres gennem 5 til 7 websteder med TLD'er som .site,. tk og .ga, “sagde Microsoft.
“Efter flere omdirigeringer når brugerne et angrebskontrolleret sted, der efterligner Google Drev, og bliver bedt om at downloade filen.”
Dette fører typisk til SolarMarker/Jupyter-malware, men Microsoft har også set tilfældige filer downloadet som en del af en tilsyneladende metode til at undvige detektion, tilføjede den.
Det exfiltrerer stjålne data til en kommando-og-kontrol-server og fortsætter ved at oprette genveje i startmappen samt ændre genveje på skrivebordet.
Sikkerhed
De bedste browsere til beskyttelse af personlige oplysninger: Gennemse sikkert på det store dårlige internet Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner og regeringen De bedste antivirussoftware og apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til to-faktor godkendelse Ransomware: Gør disse tre ting for at hjælpe med at beskytte dit netværk mod angreb (ZDNet YouTube)
“Microsoft 365 Defender-data viser, at SEO-forgiftningsteknikken er effektiv, da Microsoft Defender Antivirus har registreret og blokeret tusindvis af disse PDF-dokumenter i adskillige miljøer, “sagde Microsoft.
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 