Gli sviluppatori del famigerato backdoor SolarMarker (Jupyter) hanno letteralmente inondato Internet con migliaia di PDF contenenti decine di migliaia di pagine di parole chiave e collegamenti che portano a malware. Questi ultimi rubano password e dati personali.
Il team di Microsoft Security Intelligence ha avvertito gli utenti con un post su Twitter che gli sviluppatori di malware SolarMarker stanno utilizzando la vecchia tecnica di avvelenamento SEO per nuovi scopi. Inizialmente, Google Sites è stato utilizzato come hosting, in seguito gli aggressori sono passati alle piattaforme Amazon Web Services (AWS) e Strikingly.
Ad aprile, sono state scoperte migliaia di pagine uniche contenenti termini/query popolari come "modello", "fattura", "ricetta", "questionario" e "curriculum". I criminali hanno utilizzato tattiche di promozione SEO per indirizzare gli utenti aziendali a oltre 100.000 siti ospitati da Google. Un Trojan è stato installato dai siti sui computer degli utenti per l'accesso remoto, in seguito ha infettato i sistemi informativi di intere società, installato Trojan bancari e altri malware.
Lo schema attuale funziona in modo simile. I documenti PDF vengono creati in modo tale da arrivare in cima ai risultati di ricerca. I criminali informatici hanno riempito i file con tutti i tipi di query di ricerca, con oltre 10.000 frasi - da "forma di assicurazione" e "accordo sui termini del contratto" a "risposte a problemi matematici".
Le pagine o i file PDF trovati nella ricerca richiedono agli utenti di seguire il collegamento presumibilmente per scaricare il documento richiesto, anche in formato PDF o DOC. Dopo aver fatto clic, l'utente viene reindirizzato attraverso cinque o sette siti con domini come .site, .tk e .ga a una risorsa che imita una pagina di Google Drive, dove scarica malware, di solito SolarMarker, che fa il resto del lavoro sporco .
Gli sviluppatori di antivirus Microsoft Defender affermano che il loro software ha bloccato migliaia di tali PDF. Per coloro che non utilizzano Microsoft Defender Antivirus o Microsoft Defender for Endpoint, gli sviluppatori consigliano di configurare il software antivirus che utilizzano per rilevare le minacce appropriate.
2021-06-16 14:39:17
Autore: Vitalii Babkin