悪名高いSolarMarker(Jupyter)バックドアの開発者は、マルウェアにつながる数万ページのキーワードとリンクを含む数千のPDFで文字通りインターネットを氾濫させました。後者はパスワードと個人データを盗みます。
Microsoft Security Intelligenceチームは、SolarMarkerマルウェア開発者が古いSEOポイズニング手法を新しい目的で使用していることをTwitterの投稿でユーザーに警告しました。当初、Googleサイトがホスティングとして使用されていましたが、その後、攻撃者はAmazon Web Services(AWS)とStrikinglyプラットフォームに切り替えました。
4月に、「テンプレート」、「請求書」、「レシピ」、「アンケート」、「履歴書」などの人気のある用語/クエリを含む何千ものユニークなページが発見されました。犯罪者はSEOプロモーション戦術を使用して、ビジネスユーザーを100,000を超えるGoogleがホストするサイトに誘導しました。トロイの木馬は、リモートアクセスのためにユーザーのコンピューター上のサイトからインストールされ、その後、企業全体の情報システムに感染し、バンキング型トロイの木馬やその他のマルウェアをインストールしました。
現在のスキームも同様に機能します。 PDFドキュメントは、検索結果の一番上に表示されるように作成されます。サイバー犯罪者は、「保険の形態」や「契約条件への同意」から「数学の問題への回答」まで、10,000を超えるフレーズを含むあらゆる種類の検索クエリでファイルを埋めました。
検索で見つかったページまたはPDFファイルは、必要なドキュメントをダウンロードするためにリンクをたどるようにユーザーに促します。これもPDFまたはDOC形式です。クリックすると、ユーザーは.site、.tk、.gaなどのドメインを持つ5〜7つのサイトを経由して、Googleドライブページを模倣したリソースにリダイレクトされます。このリソースでは、マルウェア(通常はSolarMarker)がダウンロードされ、残りのダーティワークが実行されます。 。
Microsoft Defenderのウイルス対策開発者は、自社のソフトウェアがそのようなPDFを何千もブロックしていると主張しています。 Microsoft DefenderAntivirusまたはMicrosoftDefender for Endpointを使用していない場合、開発者は、適切な脅威を検出するために使用するウイルス対策ソフトウェアを構成することをお勧めします。
2021-06-16 14:39:17
著者: Vitalii Babkin