微軟安全情報團隊剛剛通過 Twitter 平台發出了一則警告,提醒廣大軟件用戶注意提防一款利用了古老且狡猾的手段來傳播的新型惡意軟件。據悉,疑似 SolarMarker 幕後的惡意軟件操縱者,正在通過所謂的“搜索引擎優化中毒”(SEO Poisoning)手段,來將惡意代碼植入受害者的計算機。
具體說來是,微軟指出這涉及利用 SEO 關鍵詞和鏈接來“填充”數以千計的 PDF 文檔。
然後這些鏈接會啟動一系列的重定向,最終將毫無戒心的用戶引導至託管有惡意軟件的地址。
微軟安全情報團隊在一系列推文中解釋稱:攻擊者試圖通過對搜索結果進行排名的 PDF 文檔來實施傳播。
為達成這一目的,攻擊者在這些文檔中填充了超過 10 頁的關鍵詞、且涵蓋的主題也十分寬泛,從‘保單’到‘合同’、乃至‘SQL 數據庫中的 join in 查詢指令用法’和‘數學答案’。
接着,微軟提到了 eSentire 的一篇博客文章,指出攻擊者此前曾利用谷歌網站來託管這些受感染的文檔。
而在近期的活動中,微軟研究人員又注意到攻擊者已轉向亞馬遜雲服務(AWS)和 Strikingly 。
最近幾周,不少商業專業人士被黑客所操控、且託管於 Google Sites 上的網站所引誘,並在不經意間安裝了一種已知但新興的遠程訪問木馬(簡稱 RAT)。
eSentire 指出,攻擊始於潛在受害者對商業表單的搜索,比如發票、問卷和收據。但在利用谷歌搜索重定向來層層設陷的情況下,一旦受害者計算機上的 RAT 被激活,攻擊者即可向目標計算機發送指令、並將其它惡意軟件(比如勒索軟件),上傳到受感染的系統上。
此外上文中提到的 SolarMarker 也是一款後門型的惡意軟件,能夠從瀏覽器竊取數據和相關憑據。
考慮到“SEO 中毒”型的惡意軟件攻擊防不勝防,微軟建議廣大計算機用戶升級到帶有最新安全措施的操作系統和相關配套軟件。
與此同時,該公司的 Microsoft Defender 反病毒軟件仍會持續開展檢測、以阻止在諸多環境中的數以千計的此類 PDF 文檔。
最後,eSentire 威脅情報經理 Spence Hutchinson 曾於 4 月接受 ThreatPost 採訪時稱,安全領導者與他們的團隊,必須知曉 SolarMarker 幕後團隊在商業危害上的斑斑劣跡。