Phần mềm độc hại SolarMarker khiến người dùng gặp nguy

Microsoft đang theo dõi một loạt các cuộc tấn công sử dụng SEO poisoning để lây nhiễm các mục tiêu bằng Remote Access Trojan (RAT) – có khả năng đánh cắp thông tin nhạy cảm của nạn nhân và sao lưu hệ thống của họ.

Phần mềm độc hại được phân phối trong chiến dịch này là SolarMarker (hay còn gọi là Jupyter, Polazert và Yellow Cockatoo ), một .NET RAT chạy trong bộ nhớ và được những kẻ tấn công sử dụng để giảm tải trọng khác trên các thiết bị bị nhiễm.

SolarMarker được thiết kế để cung cấp cho các bậc thầy của nó một backdoor (cửa hậu) để tấn công các hệ thống bị và lấy cắp thông tin đăng nhập từ các trình duyệt web.

Dữ liệu mà nó quản lý để thu thập từ các hệ thống bị nhiễm được chuyển sang máy chủ điều khiển và kiểm soát. Nó cũng sẽ xâm nhập vào thư mục Startup và sửa đổi các phím tắt trên máy tính của nạn nhân.

Vào tháng 4, các nhà nghiên cứu của eSentire đã nhận thấy các tác nhân đe dọa đứng sau SolarMarker làm ngập lụt kết quả tìm kiếm với hơn 100.000 trang web tuyên bố cung cấp các biểu mẫu văn phòng miễn phí (ví dụ: hóa đơn, bản câu hỏi, biên lai và sơ yếu lý lịch).

Tuy nhiên, thay vào đó, chúng sẽ hoạt động như những cái bẫy đối với các nhà kinh doanh tìm kiếm các mẫu tài liệu và vô tình bị nhiễm SolarMarker RAT bằng cách tải xuống theo từng ổ đĩa và chuyển hướng tìm kiếm qua Shopify và Google Sites.

Trong các cuộc tấn công gần đây hơn được phát hiện bởi Microsoft, những kẻ tấn công đã chuyển sang các tài liệu nhồi nhét từ khóa được lưu trữ trên AWS và Strikingly. Hiện, chúng đang nhắm mục tiêu vào các lĩnh vực khác, bao gồm tài chính và giáo dục.

“Người dùng sử dụng hàng nghìn tài liệu PDF nhồi nhét từ khóa và liên kết SEO chuyển hướng tới phần mềm độc hại. Cuộc tấn công hoạt động bằng cách sử dụng các tài liệu PDF được thiết kế để xếp hạng kết quả tìm kiếm. Để đạt được điều này, những kẻ tấn công đã độn hơn 10 trang từ khóa về nhiều chủ đề với các tài liệu này, từ “mẫu đơn bảo hiểm”, “chấp thuận hợp đồng”, “cách để tham gia vào SQL” đến “câu trả lời toán học”.

Khi nạn nhân tìm thấy một trong các tệp PDF độc hại và mở chúng, họ sẽ được nhắc tải một tệp tài liệu PDF hoặc DOC khác có chứa thông tin mà họ tìm kiếm. Thay vì có được quyền truy cập vào thông tin, chúng được chuyển hướng qua nhiều trang web sử dụng TLD .site, .tk và .ga đến một trang web Google Drive clone có chứa phần mềm độc hại SolarMarker.

Các nhà nghiên cứu của Morphisec phát hiện ra nhiều máy chủ C2 của phần mềm độc hại này được đặt ở Nga, mặc dù nhiều máy chủ đã không còn hoạt động.

"TRU chưa thấy mục tiêu sau khi SolarMarker xâm nhập, nhưng nghi ngờ bất kỳ khả năng nào, bao gồm ransomware, đánh cắp thông tin xác thực, gian lận hoặc như một chỗ đứng trong mạng nạn nhân cho các hoạt động gián điệp hoặc xâm nhập" – Đơn vị Phản hồi Đe dọa (TRU) của eSentire nói thêm.