微軟警告SolarMarker惡意軟件正在利用狡猾的SEO中毒手段來傳播
微軟安全情報團隊剛剛通過Twitter平台發出了一則警告,提醒廣大軟件用戶注意提防一款利用了古老且狡猾的手段來傳播的新型惡意軟件。據悉,疑似SolarMarker幕後的惡意軟件操縱者,正在通過所謂的“搜索引擎優化中毒”(SEO Poisoning)手段,來將惡意代碼植入受害者的計算機。
具體說來是,微軟指出這涉及利用SEO 關鍵詞和鏈接來“填充”數以千計的PDF 文檔。
然後這些鏈接會啟動一系列的重定向,最終將毫無戒心的用戶引導至託管有惡意軟件的地址。
微軟安全情報團隊在一系列推文中解釋稱:攻擊者試圖通過對搜索結果進行排名的PDF 文檔來實施傳播。
為達成這一目的,攻擊者在這些文檔中填充了超過10 頁的關鍵詞、且涵蓋的主題也十分寬泛,從’保單’到’合同’、乃至’SQL 數據庫中的join in 查詢指令用法’和’數學答案’。
接著,微軟提到了eSentire 的一篇博客文章,指出攻擊者此前曾利用谷歌網站來託管這些受感染的文檔。
而在近期的活動中,微軟研究人員又注意到攻擊者已轉向亞馬遜雲服務(AWS)和Strikingly 。
最近幾週,不少商業專業人士被黑客所操控、且託管於Google Sites 上的網站所引誘,並在不經意間安裝了一種已知但新興的遠程訪問木馬(簡稱RAT)。
eSentire 指出,攻擊始於潛在受害者對商業表單的搜索,比如發票、問捲和收據。但在利用谷歌搜索重定向來層層設陷的情況下,一旦受害者計算機上的RAT 被激活,攻擊者即可向目標計算機發送指令、並將其它惡意軟件(比如勒索軟件),上傳到受感染的系統上。
此外上文中提到的SolarMarker 也是一款後門型的惡意軟件,能夠從瀏覽器竊取數據和相關憑據。
考慮到“SEO 中毒”型的惡意軟件攻擊防不勝防,微軟建議廣大計算機用戶升級到帶有最新安全措施的操作系統和相關配套軟件。
與此同時,該公司的Microsoft Defender 反病毒軟件仍會持續開展檢測、以阻止在諸多環境中的數以千計的此類PDF 文檔。
最後,eSentire 威脅情報經理Spence Hutchinson 曾於4 月接受ThreatPost 採訪時稱,安全領導者與他們的團隊,必須知曉SolarMarker 幕後團隊在商業危害上的斑斑劣跡。