特洛伊木马aka SolarMarker已经回去并微调了一种称为SEO中毒的旧策略,以便在尽可能多的系统上安装远程访问特洛伊木马(RAT)。此RAT在内存中运行,攻击者利用它在受影响的系统上安装其他恶意软件。
特洛伊木马
Trojan.Polazert专门用于从浏览器中窃取凭证并提供带有后门的攻击者,允许他们进一步妥协感染的系统。为实现这一目标,收集的数据被发送到aC&C服务器。要在受感染的系统上获得持久性,它将快捷方式添加到启动文件夹并更改现有快捷方式。
分布
根据微软安全智能,攻击者已开始使用具有高SEO排名的关键字的PDF文件,以便他们的链接在搜索结果中突出显示。一旦受害者下载了他们认为他们正在寻找的PDF文件,系统会提示他们下载另一个据称包含他们设置的信息的文件。而不是获取他们被重定向到的垂钓文档通过多个站点来结束,以最终在他们下载Polazert特洛伊木马的页面上。
过去,这一威胁行为人曾在搜索结果中充斥着10万多个声称提供免费办公表单和文档模板的网站。所有这些都有相同的最终结果,一个RAT的下载。恶意网站提供伪装成pdf文档或word文档的可执行文件。
正如您所希望的那样,攻击者使用像亚马逊Web服务(AWS)和Google网站的竞选托管托管,以托管他们的恶意PDF。
SEO中毒
SEO对于搜索引擎优化是短暂的,它是一种营销策略,旨在确保如果人们搜索与您的业务相关的某些关键字,则会找到您的网页。谷歌搜索结果中的页面排名基于一系列巨大的因素,但两个核心原则是页面的依据,以及页面的声誉。
PDF中会塞满关键词,目的是让谷歌相信人们将要搜索的特定内容。要针对大量不同的搜索,他们需要大量不同的、聚焦范围窄的PDF。
页面的信誉部分是通过使用指向它的入站链接数来计算的。来自同一主题页面的链接,它们本身有着很强的声誉,影响更大。通常,威胁参与者可以利用大量页面创建入站链接。
不想放入工作链接建设的懒惰骗子,或者不能承担雇用某人的人,或由繁重的竞争为关键词推迟的人,可能会考虑购买来自地下市场供应商的传入链接。这些威胁演员控制了一个众多受损的站点,它们可以用于发布链接。另一种方法可以使用SEO中毒剂是建立链接是垃圾邮件论坛,在垃圾邮件机上。
他们不使用的是社交媒体。与流行的观点相反,在Facebook和Twitter等社交媒体上发布链接无助于提高页面的SEO。社交媒体上的链接是“nofollow”链接,谷歌的机器人不会跟随它们,也不会将它们添加到传入链接的记录中。
认识到这种威胁
虽然在使用搜索引擎时,在使用搜索引擎时,它并不罕见,但建议审查其内容。除了第一个页面外,填充的PDF文件看起来是空的,但仔细看看他们的内容。
值得注意的是,除了用于SEO毒害活动之外,恶意PDF还可以用于触发阅读器软件中的错误,而且不缺少bug。
Microsoft安全智能展示的PDF文件的第一页为用户提供了PDF下载或Word文档下载的选择,然后在“选择下载格式”下。或者,换句话说,您希望您的鼠作为PDF或DOC?
这当然是可行的,这个威胁演员将再次改变战术,但了解他们目前的战术可能会帮助你挫败他们的下一次企图。
保持安全,每个人!
评论