악명 높은 SolarMarker (Jupyter) 백도어 개발자는 말 그대로 수만 페이지의 키워드와 악성 코드로 이어지는 링크가 포함 된 수천 개의 PDF로 인터넷에 넘쳐났습니다. 후자는 암호와 개인 데이터를 훔칩니다.
Microsoft 보안 인텔리전스 팀은 SolarMarker 맬웨어 개발자가 새로운 목적으로 이전 SEO 중독 기술을 사용하고 있다고 트위터 게시물을 통해 사용자에게 경고했습니다. 처음에는 Google Sites가 호스팅으로 사용되었고 나중에 공격자는 Amazon Web Services (AWS) 및 Strikingly 플랫폼으로 전환했습니다.
지난 4 월에는 "템플릿", "인보이스", "레시피", "설문지"및 "이력서"와 같은 인기 용어 / 쿼리가 포함 된 수천 개의 고유 한 페이지가 발견되었습니다. 범죄자들은 SEO 프로모션 전략을 사용하여 비즈니스 사용자를 Google이 호스팅하는 100,000 개 이상의 사이트로 유도했습니다. 트로이 목마는 원격 액세스를 위해 사용자 컴퓨터의 사이트에서 설치되었으며 나중에 전체 기업의 정보 시스템을 감염시키고 뱅킹 트로이 목마 및 기타 맬웨어를 설치했습니다.
현재 계획은 비슷한 방식으로 작동합니다. PDF 문서는 검색 결과의 맨 위에 표시되는 방식으로 생성됩니다. 사이버 범죄자들은 "보험 형태", "계약 조건에 대한 동의"에서 "수학적 문제에 대한 답변"에 이르기까지 10,000 개가 넘는 구문으로 모든 종류의 검색어로 파일을 채웠습니다.
검색에서 찾은 페이지 또는 PDF 파일은 사용자가 필요한 문서를 PDF 또는 DOC 형식으로 다운로드하는 링크를 따라 가도록합니다. 클릭 후 사용자는 .site, .tk 및 .ga와 같은 도메인이있는 5 ~ 7 개의 사이트를 통해 Google 드라이브 페이지를 모방 한 리소스로 리디렉션되며, 여기에서 악성 코드 (일반적으로 SolarMarker)를 다운로드하여 나머지 작업을 수행합니다. .
Microsoft Defender 바이러스 백신 개발자는 소프트웨어가 이러한 PDF 수천 개를 차단했다고 주장합니다. Microsoft Defender Antivirus 또는 Microsoft Defender for Endpoint를 사용하지 않는 경우 개발자는 적절한 위협을 감지하는 데 사용하는 바이러스 백신 소프트웨어를 구성하는 것이 좋습니다.
2021-06-16 14:39:17
작가: Vitalii Babkin