微软警告,攻击者利用 SEO 中毒通过 SolarMarker 恶意软件感染受害者

安全资讯 小布 417浏览 0评论

微软注意到一波网络进犯运用 SEO 中毒(也称为搜索中毒)来提供远程拜访木马(RAT),网络犯罪分子运用该木马从受感染体系窃取私家信息。

SEO 中毒是一种老派的攻击技能,其间威胁行为者创立恶意网站并运用搜索引擎优化 (SEO) 策略使它们出现在搜索成果中的明显位置。

这些网站一般与大量个人在任何给定时间点可能在搜索中运用的词相关联,包括节日短语、新闻和抢手视频。

在这种情况下,SolarMarker 恶意软件背后的攻击者会运用数千个包含 SEO 关键字和链接的 PDF 文档,将潜在受害者引导至伪装成 Google Drive 的恶意网站上的恶意软件。

正如微软所说,攻击是通过运用为搜索结果排名而创立的 PDF 文档进行的。为了完成这一目标,威胁行为者在这些文档中填充了超过 10 页的关键字,涉及广泛的主题,从“保险单”和“合同承受”到“怎么参加 SQL”和“数学答案”。

SolarMarker 操作模式

根据 Microsoft 安全情报团队的说法,SolarMarker,也称为 Jupyter、Polazert 和 Yellow Cockatoo,是一种后门恶意软件,可从浏览器窃取数据和凭据。它会将窃取的数据泄露到 C2 服务器,并经过在 Startup 文件夹中创建快捷方式以及修正桌面上的快捷方式来持续存在。

4 月,eSentire 的安全专家注意到SolarMaker  背后的网络犯罪分子在查找成果中淹没了超过 100,000 个网页,并宣告免费提供模板、发票、收据、问卷和简历等办公文件。

通过这种方式,寻觅文档模板的商务专业人士将被 SolarMaker 长途访问木马 (RAT) 欺骗,经过 Shopify 和 Google 站点使用偷渡式下载和查找重定向来感染自己。

在 Microsoft 安全情报团队最近看到的进犯中,进犯者已转向 AWS 和 Strikingly 上保存的填充关键字的文档,现在还进犯金融和教育领域。

eSentire 的威胁响应单位 (TRU)表示:

TRU 尚未观察到 SolarMarker 感染后针对目标采取的行动,但怀疑有多种可能性,包括勒索软件、凭证盗窃、欺诈,或作为间谍或渗漏操作进入受害者网络的立足点。

转载请注明:布尔云安的博客 » 微软警告,攻击者利用 SEO 中毒通过 SolarMarker 恶意软件感染受害者

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址