Pazite na šta klikćete - Malver za krađu lozinki i podataka širi se na neuobičajen način

Napadači koji stoje iza ovih napada na taj način poboljšavaju svoju vidljivost na browserima, kako bi potencijalne žrtve doveli do malvera na zlonamernoj web lokaciji koja se predstavlja kao Google disk. Prema Microsoftu, SolarMarker je backdoor malver koji krade podatke i kredencijale iz browsera. SEO poisoning je tehnika stare škole, koja koristi browsere za širenje malvera. U ovom slučaju, napadači koriste hiljade PDF-a ispunjenih ključnim rečima i linkovima, koje neopreznog korisnika sa više lokacija preusmeravaju na onu koja instalira zlonamerni softver.

Napad deluje tako što koristi PDF dokumente dizajnirane za rangiranje na rezultatima pretrage. Da bi to postigli, napadači su ove dokumente napunili sa više od 10 stranica ključnih reči na širok spektar tema, od „obrasca osiguranja“ i „prihvatanja ugovora“ do matematičkih odgovora, rekao je Microsoft Security Intelligence u tvitu. Zlonamerni softver je pretežno ciljao korisnike u Severnoj Americi. Napadači su hostovali stranice na Google Sites-u kao mamac za zlonamerna preuzimanja. Sajtovi promovišu preuzimanje dokumenata i često su visoko rangirani u rezultatima pretraživanja.

Istraživači Microsofta otkrili su da su napadači počeli da koriste usluge Amazon Web Services (AWS) i Strikingly, kao i Google Sites. Kada se otvore, PDF-ovi podstiču korisnike da preuzmu .doc file ili .pdf verziju željenih informacija. Korisnici koji kliknu na link preusmeravaju se kroz 5 do 7 web lokacija sa TLD-ovima, kao što su .site, .tk i .ga, rekao je Microsoft. Nakon višestrukih preusmeravanja, korisnici dolaze do lokacije koju kontroliše napadač, koja imitira Google disk, i od njih se traži da preuzmu file. To obično dovodi do zlonamernog softvera SolarMarker/Jupiter, koji ukradene podatke eksfiltrira na command-and-control server i nastavlja stvaranjem prečica u direktorijumu Startup, kao i modifikovanjem prečica na desktopu. Podaci Microsoft 365 Defendera pokazuju da je tehnika SEO trovanja efikasna, s obzirom na to da je Microsoft Defender Antivirus otkrio i blokirao hiljade ovih PDF dokumenata u brojnim okruženjima, rekao je Microsoft.