详细说来是,微软指出这涉及利用 SEO 关键词和链接来“添补”数以千计的 PDF 文档。
然后这些链接会启动一系列的重定向,终极将毫无戒心的用户勾引至托管有恶意软件的地址。
微软安全情报团队在一系列推文中阐明称:攻击者试图通过对搜索结果进行排名的 PDF 文档来履行传播。
为达成这一目的,攻击者在这些文档中添补了超过 10 页的关键词、且涵盖的主题也十分宽泛,从‘保单’到‘条约’、乃至‘SQL 数据库中的 join in 查询指令用法’和‘数学答案’。
接着,微软提到了 eSentire 的一篇博客文章,指出攻击者此前曾利用谷歌网站来托管这些受传染的文档。
而在近期的活动中,微软研究职员又把稳到攻击者已转向亚马逊云做事(AWS)和 Strikingly 。
最近几周,不少商业专业人士被黑客所操控、且托管于 Google Sites 上的网站所领导,并在不经意间安装了一种已知但新兴的远程访问木马(简称 RAT)。
eSentire 指出,攻击始于潜在受害者对商业表单的搜索,比如***、问卷和收据。但在利用谷歌搜索重定向来层层设陷的情形下,一旦受害者打算机上的 RAT 被激活,攻击者即可向目标打算机发送指令、并将其它恶意软件(比如打单软件),上传到受传染的系统上。
此外上文中提到的 SolarMarker 也是一款后门型的恶意软件,能够从浏览器盗取数据和干系凭据。
考虑到“SEO 中毒”型的恶意软件攻击防不胜防,微软建议广大打算机用户升级到带有最新安全方法的操作系统和干系配套软件。
与此同时,该公司的 Microsoft Defender 反病毒软件仍会持续开展检测、以阻挡在诸多环境中的数以千计的此类 PDF 文档。
末了,eSentire 威胁情报经理 Spence Hutchinson 曾于 4 月接管 ThreatPost 采访时称,安全领导者与他们的团队,必须知晓 SolarMarker 幕后团队在商业危害上的斑斑劣迹。
