Angripare bakom skadlig programvara som kallas SolarMarker använder PDF-dokument fyllda med sökord för sökmotoroptimering (SEO) för att öka deras synlighet på sökmotorer för att leda potentiella offer till skadlig kod på en skadlig webbplats som poserar som Google Drive.
Enligt Microsoft är SolarMarker en bakdörr-skadlig kod som stjäl data och referenser från webbläsare.
SEO-förgiftning är en gammaldags teknik som använder sökmotorer för att sprida skadlig kod. I det här fallet använder angriparna tusentals PDF-filer fyllda med nyckelord och länkar som omdirigerar de oförsiktiga över flera webbplatser mot en som installerar skadlig kod.
“Attacken fungerar med hjälp av PDF-dokument som är utformade för att rankas i sökresultaten. För att uppnå detta, angripare vadderade dessa dokument med & gt; 10 sidor med nyckelord i ett stort antal ämnen, från” försäkringsformulär “och” godkännande av kontrakt “till” hur man går med i SQL “och” matematiska svar “, säger Microsoft Security Intelligence i en tweet.
Crowdstrike väckte ett larm om SolarMarker i februari för att använda samma SEO-förgiftningstaktik. Skadlig programvara riktar sig främst till användare i Nordamerika.
Angriparna var värd för sidor på Google Sites som lockbete för de skadliga nedladdningarna. Webbplatserna främjade nedladdningar av dokument och rankades ofta högt i sökresultaten, återigen för att öka sökrankningen.
Microsoft-forskare fann att angriparna började använda Amazon Web Services (AWS) och Strikingly's service samt Google Sites.
“När PDF-filerna öppnas uppmanas användarna att ladda ner en .doc-fil eller en .pdf-version av önskad information. Användare som klickar på länkarna omdirigeras till 5 till 7 webbplatser med toppdomäner som .site,. tk och .ga, sa Microsoft.
“Efter flera omdirigeringar når användare en angriparstyrd webbplats som imiterar Google Drive och uppmanas att ladda ner filen.”
Detta leder vanligtvis till skadlig programvara SolarMarker/Jupyter, men Microsoft har också sett att slumpmässiga filer laddas ner som en del av en uppenbar metod för att undvika upptäckt, tillade den.
Det exfiltrerar stulna data till en kommando-och-kontrollserver och fortsätter genom att skapa genvägar i startmappen samt ändra genvägar på skrivbordet.
Säkerhet
De bästa webbläsarna för sekretess: Bläddra säkert på det stora dåliga internet Cybersäkerhet 101: Skydda din integritet från hackare, spioner och regeringen De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemanvändning De bästa säkerhetsnycklarna för tvåfaktorer autentisering Ransomware: Gör dessa tre saker för att skydda ditt nätverk från attacker (ZDNet YouTube)
“Microsoft 365 Defender-data visar att SEO-förgiftningstekniken är effektiv, med tanke på att Microsoft Defender Antivirus har upptäckt och blockerat tusentals av dessa PDF-dokument i många miljöer, “sa Microsoft.
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 