Gli aggressori dietro il malware noto come SolarMarker utilizzano documenti PDF pieni di parole chiave di ottimizzazione dei motori di ricerca (SEO) per aumentare la loro visibilità sui motori di ricerca al fine di condurre potenziali vittime al malware su un sito dannoso che si spaccia per Google Drive.
Secondo Microsoft, SolarMarker è un malware backdoor che ruba dati e credenziali dai browser.
L'avvelenamento da SEO è una tecnica vecchia scuola che utilizza i motori di ricerca per diffondere malware. In questo caso, gli aggressori utilizzano migliaia di PDF pieni di parole chiave e collegamenti che reindirizzano gli incauti su più siti verso uno che installa il malware.
“L'attacco funziona utilizzando documenti PDF progettati per essere classificati nei risultati di ricerca. Per raggiungere questo obiettivo, gli aggressori hanno riempito questi documenti con >10 pagine di parole chiave su un'ampia gamma di argomenti, da “modulo di assicurazione” e “accettazione del contratto” a ” come partecipare a SQL” e “risposte matematiche”, ha affermato Microsoft Security Intelligence in un tweet.
Crowdstrike ha lanciato un allarme su SolarMarker a febbraio per aver utilizzato le stesse tattiche di avvelenamento SEO. Il malware ha preso di mira principalmente gli utenti del Nord America.
Gli aggressori ospitavano pagine su Google Sites come esche per i download dannosi. I siti promuovevano il download di documenti ed erano spesso altamente classificati nei risultati di ricerca, sempre per aumentare il ranking di ricerca.
I ricercatori di Microsoft hanno scoperto che gli aggressori hanno iniziato a utilizzare Amazon Web Services (AWS) e il servizio di Strikingly, oltre a Google Sites.
“Quando vengono aperti, i PDF richiedono agli utenti di scaricare un file .doc o una versione .pdf delle informazioni desiderate. Gli utenti che fanno clic sui collegamenti vengono reindirizzati da 5 a 7 siti con TLD come .site, . tk e .ga”, ha affermato Microsoft.
“Dopo più reindirizzamenti, gli utenti raggiungono un sito controllato da un aggressore, che imita Google Drive, e gli viene chiesto di scaricare il file”.
Questo in genere porta al malware SolarMarker/Jupyter, ma Microsoft ha anche visto il download di file casuali come parte di un metodo apparente per evitare il rilevamento, ha aggiunto.
Esfiltra i dati rubati in un server di comando e controllo e persiste creando collegamenti nella cartella Avvio e modificando i collegamenti sul desktop.
Sicurezza
I migliori browser per la privacy: Naviga in sicurezza su Internet in modo pessimo Cyber security 101: proteggi la tua privacy da hacker, spie e governo I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per due fattori autenticazione Ransomware: fai queste tre cose per proteggere la tua rete dagli attacchi (ZDNet YouTube)
“I dati di Microsoft 365 Defender mostrano che la tecnica di avvelenamento SEO è efficace, dato che Microsoft Defender Antivirus ha rilevato e bloccato migliaia di questi documenti PDF in numerosi ambienti”, ha affermato Microsoft.
Argomenti correlati:
Security TV Data Management CXO Data Center 