L'empoisonnement SEO utilisé pour des cibles dérobées avec des logiciels malveillants

Microsoft suit une série d’attaques qui utilisent l’empoisonnement du référencement pour infecter les cibles avec un cheval de Troie d’accès à distance (RAT) capable de voler les informations sensibles des victimes et de dérober leurs systèmes.

Le malware diffusé dans cette campagne est SolarMarker (alias Jupyter, Polazert et Yellow Cockatoo), un.NET RAT qui s’exécute en mémoire et est utilisé par les attaquants pour supprimer d’autres charges utiles sur les appareils infectés.

SolarMarker est conçu pour fournir à ses maîtres une porte dérobée vers les systèmes compromis et voler les informations d’identification des navigateurs Web.

Les données qu’il parvient à récolter des systèmes infectés sont exfiltrées vers le serveur de commande et de contrôle. Il gagnera également en persistance en s’ajoutant au dossier de démarrage et en modifiant les raccourcis sur le bureau des victimes.

En avril, les chercheurs d’eSentire ont observé des acteurs de la menace derrière SolarMaker inondant les résultats de recherche de plus de 100 000 pages Web prétendant fournir des formulaires de bureau gratuits (par exemple, des factures, des questionnaires, des reçus et des curriculum vitae).

Cependant, ils agiraient plutôt comme des pièges pour les professionnels à la recherche de modèles de documents et les infecteraient avec le SolarMaker RAT en utilisant des téléchargements directs et une redirection de recherche via Shopify et Google Sites.

Passe à l’abus d’AWS et de Strikingly

Lors d’attaques plus récentes repérées par Microsoft, les attaquants sont passés à des documents contenant des mots clés hébergés sur AWS et Strikingly, et ciblent désormais d’autres secteurs, notamment la finance et l’éducation.

« Ils utilisent des milliers de documents PDF remplis de mots-clés et de liens SEO qui démarrent une chaîne de redirections menant finalement au malware », a déclaré Microsoft.

« L’attaque fonctionne en utilisant des documents PDF conçus pour être classés dans les résultats de recherche. Pour y parvenir, les attaquants ont complété ces documents avec plus de 10 pages de mots-clés sur un large éventail de sujets, du « formulaire d’assurance » et « l’acceptation du contrat » ​​au « comment se joindre à SQL’ et ‘réponses mathématiques’. »

Image  : Microsoft

Une fois que les victimes ont trouvé l’un des fichiers PDF conçus de manière malveillante et l’ont ouvert, elles sont invitées à télécharger un autre document PDF ou DOC contenant les informations qu’elles recherchent.

Au lieu d’accéder aux informations, ils sont redirigés via plusieurs sites Web utilisant les TLD.site,.tk et.ga vers une page Web clonée de Google Drive où ils reçoivent la dernière charge utile, le malware SolarMaker.

Selon Morphisec, les développeurs de SolarMaker seraient des acteurs de menace russophones basés sur des fautes d’orthographe de traduction du russe vers l’anglais.

Les chercheurs de Morphisec ont également découvert que de nombreux serveurs C2 du malware sont situés en Russie, bien que beaucoup ne soient plus actifs.

« Le TRU n’a pas encore observé d’actions sur les objectifs à la suite d’une infection SolarMarker, mais soupçonne un certain nombre de possibilités, y compris les ransomwares, le vol d’identifiants, la fraude ou comme point d’ancrage dans les réseaux des victimes pour des opérations d’espionnage ou d’exfiltration », eSentire’s Threat Response Unité (TRU) ajoutée.