Вредоносные PDF-файлы наводняют Интернет, что приводит к перехвату паролей

Создатели SolarMarker используют SEO-отравление, наполняя тысячи PDF-файлов десятками тысяч страниц, заполненных ключевыми словами и ссылками SEO для перенаправления на вредоносное ПО.

Злоумышленники, стоящие за бэкдором SolarMarker, наводняют Интернет PDF-файлами, заполненными ключевыми словами и ссылками, которые перенаправляют на вредоносное ПО для кражи паролей и учетных данных, сообщает threatpost.

Microsoft Security Intelligence заявила в своем твите в пятницу, что производители SolarMarker (также известного как Jupyter) ищут новых успехов, используя старую технику: отравление поисковой оптимизацией (SEO). Они наполняют тысячи PDF-документов ключевыми словами и ссылками для SEO, которые запускают цепочку переадресации, которая в конечном итоге приводит к вредоносному ПО.

По данным Microsoft Security Intelligence, злоумышленники расширили свой диапазон и перешли от первоначального использования сайтов Google к использованию Amazon Web Services (AWS) и поразительно бесплатного сервиса создания веб-сайтов.

Operators of the malware known as SolarMarker, Jupyter, other names are aiming to find new success using an old technique: SEO poisoning. They use thousands of PDF documents stuffed w/ SEO keywords and links that start a chain of redirections eventually leading to the malware.

— Microsoft Security Intelligence (@MsftSecIntel) June 11, 2021

В апреле, когда злоумышленники были сосредоточены на сайтах Google, отдел реагирования на угрозы (TRU) eSentire обнаружил множество уникальных вредоносных веб-страниц, содержащих популярные бизнес-термины / определенные ключевые слова, включая ключевые слова, связанные с бизнес-формой, такие как «шаблон», «счет-фактура», «Квитанция», «анкета» и «резюме» наблюдали исследователи в то время.

Злоумышленники использовали тактику поисковой оптимизации (SEO), чтобы заманить бизнес-пользователей на более чем 100 000 вредоносных сайтов Google, которые выглядели легитимными. Фактически они были чистым ядом: на этих сайтах был установлен троян удаленного доступа (RAT), который закрепился в сети, чтобы впоследствии заразить системы программами-вымогателями, кражами учетных данных, банковскими троянами и другими вредоносными программами.

Текущая атака работает аналогичным образом, используя PDF-документы, предназначенные для показа в верхней части результатов поиска. Чтобы добраться туда, злоумышленники наполнили документы более чем 10 000 страниц ключевыми словами по ряду тем, от «страхового бланка» и «принятия контракта» до «как присоединиться к SQL» и «математических ответов».

PDF-файлы или ссылающиеся на них страницы, как и предполагалось, занимали первые места в результатах поиска. При открытии PDF-файлы предлагают пользователям загрузить файл .doc или версию документа .pdf, которую, по их мнению, они должны получить. По словам Microsoft, жертвы, которые переходят по ссылкам, перенаправляются через пять-семь сайтов с доменами верхнего уровня (TLD), включая .site, .tk и .ga.

После прохождения лабиринта переадресации пользователи попадают на сайт, имитирующий Google Диск. Затем им предлагается загрузить файл, который, по словам исследователей, обычно является вредоносной программой SolarMarker. По их словам, они также видели, как случайные файлы предлагались для загрузки в качестве «тактики уклонения от обнаружения / анализа».

Вредоносная программа-бэкдор SolarMarker поглощает данные и учетные данные из браузеров. Затем он отправляет украденные данные на сервер управления (C2). Ему удается сохраняться, создавая ярлыки в папке «Автозагрузка» и изменяя ярлыки на рабочем столе.

Сыпь отравления SEO

Отравление SEO, также известное как отравление поиска, существует уже давно.

Оно влечет за собой создание заминированных веб-сайтов и использование тактики SEO для размещения этих сайтов в верхней части результатов поиска или рядом с ними.

Исследователи заявили, что данные Microsoft 365 Defender показывают, что этот конкретный вид отравления SEO — например, упаковка PDF-файлов, полных общих, часто используемых ключевых слов и ссылок на их фальсифицированные сайты, – довольно хорошо работает для злоумышленников SolarMarker.

«Антивирус Microsoft Defender обнаружил и заблокировал тысячи этих PDF-документов во многих средах», – заявили они в своем твиттере.

Блокировка PDF-файлов, содержащих непрозрачные пакеты

Microsoft рекомендует организациям, которые не используют Microsoft Defender Antivirus или Microsoft Defender for Endpoint для оповещения о вредоносных файлах и поведении, включить обнаружение конечных точек и реагирование (EDR) в режиме блокировки, чтобы остановить неизвестное вредоносное ПО в используемом продукте безопасности.