Deze malware die gegevens en wachtwoorden steelt, verspreidt zich op een ongebruikelijke manier

0
67

Liam Tung

Door Liam Tung | 14 juni 2021 — 14:59 GMT (15:59 BST) | Onderwerp: Beveiliging

Aanvallers achter de malware die bekend staat als SolarMarker, gebruiken PDF-documenten gevuld met zoekwoorden voor zoekmachineoptimalisatie (SEO) om hun zichtbaarheid op zoekmachines te vergroten om potentiële slachtoffers naar malware op een kwaadaardige site te leiden die doet zich voor als Google Drive.

Volgens Microsoft is SolarMarker een backdoor-malware die gegevens en inloggegevens van browsers steelt.

SEO-vergiftiging is een ouderwetse techniek die zoekmachines gebruikt om malware te verspreiden. In dit geval gebruiken de aanvallers duizenden pdf's gevuld met trefwoorden en links die de onoplettende mensen over meerdere sites omleiden naar een die de malware installeert.

“De aanval werkt door gebruik te maken van PDF-documenten die zijn ontworpen om in zoekresultaten te worden gerangschikt. Om dit te bereiken, vulden aanvallers deze documenten met >10 pagina's met trefwoorden over een breed scala aan onderwerpen, van 'verzekeringsformulier' en 'acceptatie van contract' tot ' how to join in SQL” en “math Answers”, zei Microsoft Security Intelligence in een tweet.

Crowdstrike sloeg in februari alarm over SolarMarker voor het gebruik van dezelfde SEO-vergiftigingstactieken. De malware was voornamelijk gericht op gebruikers in Noord-Amerika.

De aanvallers hosten pagina's op Google Sites als lokaas voor de kwaadaardige downloads. De sites promootten het downloaden van documenten en stonden vaak hoog in de zoekresultaten, opnieuw om de zoekresultaten te verbeteren.

Microsoft-onderzoekers ontdekten dat de aanvallers Amazon Web Services (AWS) en de service van Strikingly zijn gaan gebruiken, evenals Google Sites.

“Wanneer ze worden geopend, vragen de PDF's gebruikers om een ​​.doc-bestand of een .pdf-versie van de gewenste informatie te downloaden. Gebruikers die op de links klikken, worden doorgestuurd via 5 tot 7 sites met TLD's zoals .site, . tk en .ga”, aldus Microsoft.

“Na meerdere omleidingen bereiken gebruikers een door een aanvaller gecontroleerde site, die Google Drive imiteert, en wordt gevraagd om het bestand te downloaden.”

Dit leidt meestal tot de SolarMarker/Jupyter-malware, maar Microsoft heeft ook gezien dat willekeurige bestanden werden gedownload als onderdeel van een schijnbare methode om detectie te ontwijken, voegde het eraan toe.

Het exfiltreert gestolen gegevens naar een command-and-control-server en blijft bestaan ​​door snelkoppelingen te maken in de opstartmap en door snelkoppelingen op het bureaublad te wijzigen.

Beveiliging

De beste browsers voor privacy: browse veilig op het grote slechte internet Cyberbeveiliging 101: bescherm uw privacy tegen hackers, spionnen en de overheid De beste antivirussoftware en -apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor tweeledige authenticatie Ransomware: Doe deze drie dingen om uw netwerk te beschermen tegen aanvallen (ZDNet YouTube)

“Microsoft 365 Defender-gegevens tonen aan dat de SEO-vergiftigingstechniek effectief is, aangezien Microsoft Defender Antivirus duizenden van deze PDF-documenten in verschillende omgevingen”, aldus Microsoft.

Verwante onderwerpen:

Beveiliging TV-gegevensbeheer CXO-datacenters Liam Tung

Door L iam Tung | 14 juni 2021 — 14:59 GMT (15:59 BST) | Onderwerp: Beveiliging