Les développeurs de la tristement célèbre porte dérobée SolarMarker (Jupyter) ont littéralement inondé Internet de milliers de fichiers PDF contenant des dizaines de milliers de pages de mots-clés et de liens menant à des logiciels malveillants. Ces derniers volent des mots de passe et des données personnelles.
L'équipe Microsoft Security Intelligence a averti les utilisateurs avec une publication sur Twitter que les développeurs de logiciels malveillants SolarMarker utilisaient l'ancienne technique d'empoisonnement du référencement à de nouvelles fins. Initialement, Google Sites était utilisé comme hébergement, puis les attaquants sont passés aux plateformes Amazon Web Services (AWS) et Strikingly.
En avril, des milliers de pages uniques ont été découvertes contenant des termes / requêtes populaires tels que "modèle", "facture", "recette", "questionnaire" et "CV". Les criminels ont utilisé des tactiques de promotion du référencement pour diriger les utilisateurs professionnels vers plus de 100 000 sites hébergés par Google. Un cheval de Troie a été installé à partir de sites sur les ordinateurs des utilisateurs pour un accès à distance, puis il a infecté les systèmes d'information de sociétés entières, installé des chevaux de Troie bancaires et d'autres logiciels malveillants.
Le schéma actuel fonctionne de manière similaire. Les documents PDF sont créés de telle sorte qu'ils arrivent tout en haut des résultats de recherche. Les cybercriminels ont rempli les fichiers de toutes sortes de requêtes de recherche, avec plus de 10 000 expressions - de "forme d'assurance" et "accord aux termes du contrat" à "réponses à des problèmes mathématiques".
Les pages ou les fichiers PDF trouvés dans la recherche invitent les utilisateurs à suivre le lien censé télécharger le document requis - également au format PDF ou DOC. Après avoir cliqué, l'utilisateur est redirigé vers cinq à sept sites avec des domaines tels que .site, .tk et .ga vers une ressource qui imite une page Google Drive, où il télécharge des logiciels malveillants, généralement SolarMarker, qui fait le reste du sale boulot. .
Les développeurs d'antivirus Microsoft Defender affirment que leur logiciel a bloqué des milliers de ces fichiers PDF. Pour ceux qui n'utilisent pas Microsoft Defender Antivirus ou Microsoft Defender for Endpoint, les développeurs vous recommandent de configurer le logiciel antivirus qu'ils utilisent pour détecter les menaces appropriées.
2021-06-16 14:39:17
Auteur: Vitalii Babkin