Entwickler der berüchtigten SolarMarker (Jupyter)-Backdoor haben das Internet buchstäblich mit Tausenden von PDFs überflutet, die Zehntausende von Seiten mit Schlüsselwörtern und Links enthalten, die zu Malware führen. Letztere stehlen Passwörter und persönliche Daten.
Das Microsoft Security Intelligence-Team warnte Benutzer mit einem Twitter-Beitrag, dass die Entwickler von SolarMarker-Malware die alte SEO-Poisoning-Technik für neue Zwecke verwenden. Als Hosting diente zunächst Google Sites, später wechselten die Angreifer auf die Plattformen Amazon Web Services (AWS) und Strikingly.
Bereits im April wurden Tausende von einzigartigen Seiten entdeckt, die beliebte Begriffe / Abfragen wie "Vorlage", "Rechnung", "Rezept", "Fragebogen" und "Lebenslauf" enthielten. Kriminelle nutzten SEO-Promotion-Taktiken, um Geschäftsnutzer auf über 100.000 von Google gehostete Websites zu lenken. Ein Trojaner wurde von Seiten auf den Computern der Benutzer für den Fernzugriff installiert, später infizierte er Informationssysteme ganzer Unternehmen, installierte Banking-Trojaner und andere Malware.
Das aktuelle Schema funktioniert ähnlich. PDF-Dokumente werden so erstellt, dass sie in den Suchergebnissen ganz oben stehen. Die Cyberkriminellen füllten die Akten mit allen möglichen Suchanfragen, mit über 10.000 Begriffen – von „Versicherungsform“ über „Vereinbarung mit den Vertragsbedingungen“ bis hin zu „Antworten auf mathematische Probleme“.
Die in der Suche gefundenen Seiten oder PDF-Dateien fordern Nutzer auf, dem Link zu folgen, angeblich um das gewünschte Dokument herunterzuladen – auch im PDF- oder DOC-Format. Nach dem Klicken wird der Benutzer durch fünf bis sieben Websites mit Domains wie .site, .tk und .ga zu einer Ressource weitergeleitet, die eine Google Drive-Seite nachahmt, wo er Malware herunterlädt, normalerweise SolarMarker, die den Rest der Drecksarbeit erledigt .
Die Entwickler von Microsoft Defender Antivirus behaupten, dass ihre Software Tausende solcher PDFs blockiert hat. Für diejenigen, die Microsoft Defender Antivirus oder Microsoft Defender for Endpoint nicht verwenden, empfehlen die Entwickler, dass Sie die Antivirensoftware konfigurieren, die sie verwenden, um die entsprechenden Bedrohungen zu erkennen.
2021-06-16 14:39:17
Autor: Vitalii Babkin