Prema Microsoft-u, SolarMarker je backdoor malver koji krade podatke i kredencijale iz browsera
Malver poznat kao SolarMarker, koristi PDF dokumente ispunjene ključnim rečima za optimizaciju browsera (SEO).
Napadači koji stoje iza ovih napada na taj način poboljšavaju svoju vidljivost na browserima. Tako potencijalne žrtve dovode do malvera na zlonamjernoj web lokaciji koja se predstavlja kao Google disk.
Prema Microsoftu, SolarMarker je backdoor malver koji krade podatke i kredencijale iz browsera. SEO poisoning je tehnika stare škole, koja koristi browsere za širenje malvera.
U ovom slučaju, napadači koriste hiljade PDF-a ispunjenih ključnim riječima i linkovima, koje neopreznog korisnika sa više lokacija preusmjeravaju na onu koja instalira zlonamerni softver.
Napad deluje tako što koristi PDF dokumente dizajnirane za rangiranje na rezultatima pretrage.
Da bi to postigli, napadači su ove dokumente napunili sa više od 10 stranica ključnih riječi na širok spektar tema, od „obrasca osiguranja“ i „prihvatanja ugovora“ do matematičkih odgovora, rekao je Microsoft Security Intelligence u tvitu.
Zlonamjerni softver je pretežno ciljao korisnike u Sjevernoj Americi. Napadači su hostovali stranice na Google Sites-u kao mamac za zlonamjerna preuzimanja. Sajtovi promovišu preuzimanje dokumenata i često su visoko rangirani u rezultatima pretraživanja.
Zlonamjerni softver SolarMarker/Jupiter
Istraživači Microsofta otkrili su da su napadači počeli da koriste usluge Amazon Web Services (AWS) i Strikingly, kao i Google Sites.
Kada se otvore, PDF-ovi podstiču korisnike da preuzmu .doc file ili .pdf verziju željenih informacija.
Korisnici koji kliknu na link preusmjeravaju se kroz 5 do 7 web lokacija sa TLD-ovima, kao što su .site, .tk i .ga, rekao je Microsoft.
Nakon višestrukih preusmjeravanja, korisnici dolaze do lokacije koju kontroliše napadač, koja imitira Google disk, i od njih se traži da preuzmu file.
To obično dovodi do zlonamjernog softvera SolarMarker/Jupiter. On ukradene podatke eksfiltrira na command-and-control server i nastavlja stvaranjem prečica u direktorijumu Startup, kao i modifikovanjem prečica na desktopu.
Podaci Microsoft 365 Defendera pokazuju da je tehnika SEO trovanja efikasna, s obzirom na to da je Microsoft Defender Antivirus otkrio i blokirao hiljade ovih PDF dokumenata u brojnim okruženjima, rekao je Microsoft.
Iz Microsofta otkrili ko stoji iza hakerskih napada
Microsoft je saopštio da je jedan napadač uspio da pristupi jednom od agenata iz korisničke službe kompanije, a zatim iskoristio informacije koje je dobio od njega za pokušaj hakovanja kupaca.
U saopštenju Microsofta se navodi da je kompanija pronašla odgovor na aktivnosti hakerskog tima i utvrdila da su isti ljudi odgovorni i za ranije velike upade u sisteme kompanija Solar Vinds i Microsoft, prenosi Rojters.
Iz Microsofta su potvrdili da su upozorili svoje klijente koji su se našli na udaru hakera, a u tekstu upozorenja u koji je Rojters imao uvid se navodi da je napad tokom druge polovine maja izvela grupa koju kompanija naziva Nobelijum, prenosi b92.
„Sofisticirana grupa koju je Microsoftu identifikovao kao Nobelijum pristupila je Microsoftovim instrumentima za korisničku podršku kako bi došla do informacija o pretplatama na Microsoft Servisu“, navodi se između ostalog u saopštenju.
Američka vlada je ranije javno optužila rusku vladu za hakerske napade, ali Moskva je to negirala.
(ZDnet / PC Press / B92)