Angreifer hinter der als SolarMarker bekannten Malware verwenden PDF-Dokumente, die mit Keywords zur Suchmaschinenoptimierung (SEO) gefüllt sind, um ihre Sichtbarkeit in Suchmaschinen zu erhöhen, um potenzielle Opfer auf Malware auf einer bösartigen Website zu führen als Google Drive ausgibt.
Laut Microsoft ist SolarMarker eine Backdoor-Malware, die Daten und Anmeldeinformationen von Browsern stiehlt.
SEO-Poisoning ist eine Technik der alten Schule, die Suchmaschinen verwendet, um Malware zu verbreiten. In diesem Fall verwenden die Angreifer Tausende von PDFs mit Schlüsselwörtern und Links, die den Unachtsamen über mehrere Websites zu einer Website umleiten, die die Malware installiert.
“Der Angriff funktioniert, indem PDF-Dokumente verwendet werden, die in den Suchergebnissen ranken sollen. Um dies zu erreichen, haben Angreifer diese Dokumente mit >10 Seiten Keywords zu einer Vielzahl von Themen aufgefüllt, von “Versicherungsformular” und “Vertragsannahme” bis ” wie man in SQL einsteigt” und “mathematische Antworten”, sagte Microsoft Security Intelligence in einem Tweet.
Crowdstrike hat im Februar wegen SolarMarker Alarm geschlagen, weil er dieselbe SEO-Vergiftungstaktik verwendet. Die Malware zielte hauptsächlich auf Benutzer in Nordamerika ab.
Die Angreifer hosteten Seiten auf Google Sites als Köder für die bösartigen Downloads. Die Websites förderten das Herunterladen von Dokumenten und wurden in den Suchergebnissen oft hoch eingestuft, um das Suchranking zu verbessern.
Microsoft-Forscher fanden heraus, dass die Angreifer angefangen haben, Amazon Web Services (AWS) und den Dienst von Strikingly sowie Google Sites zu verwenden.
“Beim Öffnen fordern die PDFs die Benutzer auf, eine .doc-Datei oder eine .pdf-Version der gewünschten Informationen herunterzuladen. Benutzer, die auf die Links klicken, werden durch 5 bis 7 Sites mit TLDs wie .site, . tk und .ga”, sagte Microsoft.
“Nach mehreren Umleitungen gelangen Benutzer auf eine von Angreifern kontrollierte Website, die Google Drive imitiert, und werden aufgefordert, die Datei herunterzuladen.”
Dies führt normalerweise zur SolarMarker/Jupyter-Malware, aber Microsoft hat auch festgestellt, dass zufällige Dateien als Teil einer offensichtlichen Methode heruntergeladen wurden, um der Erkennung auszuweichen, fügte es hinzu.
Es exfiltriert gestohlene Daten auf einen Command-and-Control-Server und bleibt bestehen, indem Verknüpfungen im Autostart-Ordner erstellt und Verknüpfungen auf dem Desktop geändert werden.
Sicherheit
Die besten Browser für die Privatsphäre: Sicher surfen im großen, schlechten Internet Cyber-Sicherheit 101: Schützen Sie Ihre Privatsphäre vor Hackern, Spionen und der Regierung Authentifizierung Ransomware: Führen Sie diese drei Schritte aus, um Ihr Netzwerk vor Angriffen zu schützen (ZDNet YouTube)
“Microsoft 365 Defender-Daten zeigen, dass die SEO-Poisoning-Technik effektiv ist, da Microsoft Defender Antivirus Tausende dieser PDF-Dokumente erkannt und blockiert hat zahlreichen Umgebungen”, sagte Microsoft.
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 