17/06/21
Команда ИБ-специалистов Microsoft Security Intelligence предупредила пользователей об огромном количестве вредоносных PDF-файлов, распространяемых в интернете разработчиками бэкдора SolarMarker (Jupyter).
Злоумышленники используют известную старую технику «отравления SEO» (SEO poisoning) для наполнения PDF-файлов ключевыми словами и ссылками, перенаправляющими жертв на вредоносное ПО для кражи паролей и учетных данных. Первоначально в качестве хостинга использовался ресурс Google Sites, однако потом злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.
В апреле нынешнего года эксперты выявили огромное количество уникальных вредоносных web-страниц, содержащих популярные бизнес-термины и определенные ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме».
PDF-документы созданы с целью оказаться среди первый результатов поисковых запросов. Злоумышленники наполнили файлы всевозможными поисковыми запросами, с более 10 тыс. словосочетаний — от «форма страхования» и «согласие с условиями контракта» до «ответов на математические задачи».
Найденные в поиске страницы или PDF-файлы обманом заставляют пользователей перейти по ссылке якобы для загрузки необходимого документа в формате PDF или DOC. Затем пользователь перенаправляется через ряд сторонних сайтов на ресурс, замаскированный под страницу Google Drive, откуда загружается вредоноснуая программа SolarMarker.
