SolarMarker — вредоносная программа-бэкдор
SEO-отравление — это метод старой школы, который использует поисковые системы для распространения вредоносного ПО. В этом случае злоумышленники используют тысячи PDF-файлов, заполненных ключевыми словами и ссылками.
Злоумышленники, стоящие за вредоносным ПО, известным как SolarMarker, используют PDF-документы, заполненные ключевыми словами для поисковой оптимизации (SEO), чтобы повысить их видимость в поисковых системах, чтобы привести потенциальных жертв к вредоносному ПО на вредоносном сайте, который выдает себя за Google Диск.
По заявлению Microsoft, SolarMarker — это вредоносная программа-бэкдор, которая крадет данные и учетные данные из браузеров.
SEO-отравление — это метод старой школы, который использует поисковые системы для распространения вредоносного ПО. В этом случае злоумышленники используют тысячи PDF-файлов, заполненных ключевыми словами и ссылками, которые перенаправляют неосторожных пользователей с нескольких сайтов на тот, который устанавливает вредоносное ПО.
SolarMarker: принцип работы
Атака работает с использованием PDF-документов, предназначенных для ранжирования в результатах поиска. Для этого злоумышленники дополнили эти документы более чем 10 страницами ключевых слов по широкому кругу тем, от «страховая форма» и «принятие контракта» до «как чтобы присоединиться к SQL» и «математическим ответам».
Crowdstrike забил тревогу по поводу SolarMarker в феврале за то, что он использовал ту же тактику отравления SEO. Вредоносная программа в основном нацелена на пользователей в Северной Америке.
Злоумышленники размещали страницы на сайтах Google в качестве приманки для вредоносных загрузок. Сайты продвигали загрузку документов и часто получали высокие рейтинги в результатах поиска, опять же для повышения рейтинга поиска.
Исследователи Microsoft обнаружили, что злоумышленники начали использовать Amazon Web Services (AWS) и сервис Strikingly, а также сайты Google.
При открытии PDF-файлы предлагают пользователям загрузить файл .doc или версию .pdf желаемой информации. Пользователи, которые переходят по ссылкам, перенаправляются через 5–7 сайтов с такими TLD, как .site, .tk и .ga.
После нескольких перенаправлений пользователи попадают на контролируемый злоумышленником сайт, имитирующий Google Диск, и их просят загрузить файл.
Обычно это приводит к вредоносному ПО SolarMarker/Jupyter, но Microsoft также видела, что случайные файлы загружаются как часть очевидного метода уклонения от обнаружения. Он передает украденные данные на командный сервер и продолжает работать, создавая ярлыки в папке «Автозагрузка», а также изменяя ярлыки на рабочем столе.
Данные Microsoft 365 Defender показывают, что метод отравления SEO эффективен, учитывая, что антивирус Microsoft Defender обнаружил и заблокировал тысячи этих PDF-документов во многих средах.
