Os desenvolvedores do infame backdoor SolarMarker (Jupyter) inundaram literalmente a Internet com milhares de PDFs contendo dezenas de milhares de páginas de palavras-chave e links que levam a malware. Este último rouba senhas e dados pessoais.
A equipe de inteligência de segurança da Microsoft alertou os usuários com uma postagem no Twitter que os desenvolvedores de malware SolarMarker estão usando a velha técnica de envenenamento de SEO para novos propósitos. Inicialmente, o Google Sites era usado como hospedagem, depois os invasores mudaram para as plataformas Amazon Web Services (AWS) e Strikingly.
Em abril, milhares de páginas exclusivas foram descobertas contendo termos / consultas populares, como "modelo", "fatura", "receita", "questionário" e "currículo". Os criminosos usaram táticas de promoção de SEO para levar os usuários de negócios a mais de 100.000 sites hospedados pelo Google. Um Trojan foi instalado a partir de sites nos computadores dos usuários para acesso remoto, mais tarde infectou sistemas de informação de corporações inteiras, instalou Trojans bancários e outros malwares.
O esquema atual funciona de maneira semelhante. Os documentos PDF são criados de forma que cheguem ao topo dos resultados da pesquisa. Os cibercriminosos preencheram os arquivos com todos os tipos de consultas de pesquisa, com mais de 10.000 frases - desde "forma de seguro" e "acordo com os termos do contrato" até "respostas para problemas matemáticos".
As páginas ou arquivos PDF encontrados na pesquisa solicitam aos usuários que sigam o link supostamente para fazer o download do documento necessário - também em formato PDF ou DOC. Depois de clicar, o usuário é redirecionado por cinco a sete sites com domínios como .site, .tk e .ga para um recurso que imita uma página do Google Drive, onde ele baixa malware, geralmente SolarMarker, que faz o resto do trabalho sujo .
Os desenvolvedores de antivírus do Microsoft Defender afirmam que seu software bloqueou milhares de PDFs. Para aqueles que não usam o Microsoft Defender Antivirus ou o Microsoft Defender for Endpoint, os desenvolvedores recomendam que você configure o software antivírus que eles usam para detectar as ameaças apropriadas.
2021-06-16 14:39:17
Autor: Vitalii Babkin