У попередженні Microsoft Security Intelligence йдеться про те, що шкідливе ПЗ SolarMarker краде паролі, особисті й облікові дані користувачів. За допомогою тисяч ключових слів і посилань його розробники оптимізували документи так, що ті одними з перших з’являються в результатах пошукових систем і масово заражають користувачів.
Це – так звана «техніка SEO-отруєння» (SEO poisoning), стара і добре відома. Спочатку як хостинг зловмисники використовували ресурс Google Sites, та згодом перейшли на платформи Amazon Web Services (AWS) і Strikingly.
Атака працює з використанням PDF-документів, призначених для ранжування в результатах пошуку. Для цього зловмисники доповнили свої документи більш ніж 10 сторінками ключових слів якнайширшого кола тем, від «страхової форми» та «укладання контракту» до «як підключитися до SQL» та «математичних відповідей»
Служба безпеки Microsoft Intelligence
Це вже не перше попередження про SolarMarker – раніше компанія з кібербезпеки Crowdstrike також застерігала користувачів щодо цього ПЗ, заявивши, що воно здебільшого спрямоване на користувачів у Північній Америці. Зазвичай зловмисники імітували Google Диск і скидали туди ПЗ SolarMarker /Jupyter, щоб поцупити конфіденційну інформацію.
Під час відкриття PDF-файли пропонують користувачам завантажити файл .doc або версію .pdf з потрібною інформацією. Користувачі, що переходять за посиланнями, перенаправляються через 5–7 сайтів з TLD як-от .site, .tk і .ga. Після кількох перенаправлень користувачі опиняються на підконтрольному зловмисникам сайті, що імітує Google Диск, і їх просять завантажити файл
Служба безпеки Microsoft Intelligence
Шкідливе ПЗ пересилає дані на командний сервер. Також у Microsoft кажуть, що воно продовжує працювати ще й шляхом створення ярликів у теці «Автозавантаження» і зміни ярликів на робочому столі.
Читайте також Як російська програма FaceApp збирає та аналізує наші приватні фото?
