100000 Google webů použitých k instalaci SolarMarker RAT

Google sites security hacked

Hackeři používají taktiku optimalizace vyhledávání (SEO), aby nalákali podnikové uživatele na více než 100 000 škodlivých webů Google, které se zdají být legitimní, ale místo toho instalují trojského koně pro vzdálený přístup (RAT), který se používá k získání kontroly v síti a později infikuje systémy ransomwarem, krade pověření čí instaluje bankovní trojské koně a další malware.

Threat Response Unit (TRU) společnosti eSentire objevila legii jedinečných škodlivých webových stránek, které obsahují oblíbené obchodní termíny/konkrétní klíčová slova, včetně klíčových slov souvisejících s obchodními formuláři, jako je šablona, ​​faktura, potvrzení, dotazník a životopis.

Útočníci využívají přesměrování z Google vyhledávání a taktiku stahování podle typu, aby nasměrovali nic netušící oběti na RAT – sledovány společností eSentire jako SolarMarker (také znám jako Jupyter, Yellow Cockatoo a Polazert). Osoba, která navštíví infikovaný web, obvykle spustí binární soubor maskovaný jako PDF kliknutím na údajný formulář – a tím infikuje svůj počítač.

“Jedná se o stále častější trend v doručování malwaru, který hovoří o vylepšeném zabezpečení aplikací, jako jsou prohlížeče, které zpracovávají zranitelný kód,” napsali vědci. “Bohužel odhaluje do očí bijící slepé místo v ovládacích prvcích, které uživatelům umožňuje libovolně spouštět nedůvěryhodné binární soubory nebo soubory skriptů.”

Kampaň je nejen rozsáhlá, ale také sofistikovaná.

Běžné obchodní podmínky slouží jako klíčová slova pro strategii optimalizace vyhledávání hackerů, což trefně přesvědčí webový vyhledávač Google, že zamýšlený obsah splňuje podmínky pro vysoké skóre na stránce, což znamená, že škodlivé weby se objeví v horní části vyhledávání uživatelů. To zvyšuje pravděpodobnost, že oběti budou nalákány na infikované stránky.

Zdroj: threatpost.com

@RadekVyskovsky

Napsat komentář