SolarMarker đánh cắp dữ liệu và mật khẩu người dùng từ các trình duyệt

07:59 | 29/06/2021

Những kẻ tấn công đằng sau phần mềm độc hại SolarMarker đang sử dụng các tài liệu PDF chứa các từ khóa tối ưu hóa công cụ tìm kiếm (SEO) để tăng khả năng hiển thị của chúng trên các công cụ tìm kiếm, nhằm đưa các nạn nhân tiềm năng đến phần mềm độc hại trên một trang web độc hại giả mạo Google Drive.

Theo Microsoft, SolarMarker là một phần mềm độc hại backdoor đánh cắp dữ liệu và thông tin đăng nhập từ các trình duyệt.

Đầu độc SEO là một kỹ thuật cũ sử dụng các công cụ tìm kiếm để phát tán phần mềm độc hại. Trong trường hợp này, những kẻ tấn công đang sử dụng hàng nghìn tệp PDF chứa đầy từ khóa và liên kết chuyển hướng người dùng trên nhiều trang web đến một trang đã cài đặt sẵn phần mềm độc hại.

"Cuộc tấn công hoạt động bằng cách sử dụng các tài liệu PDF được thiết kế để xếp hạng các kết quả tìm kiếm. Để đạt được điều này, những kẻ tấn công đã chèn các tài liệu này với trên 10 trang từ khóa về nhiều chủ đề, từ hình thức bảo hiểm, chấp nhận hợp đồng đến cách để tham gia vào SQL, câu trả lời toán học", Microsoft Security Intelligence chia sẻ trên Tweet.    

Trước đó, các chuyên gia đã đưa ra cảnh báo về SolarMarker vì đã sử dụng cùng một chiến thuật đầu độc SEO. Phần mềm độc hại chủ yếu nhắm mục tiêu người dùng ở Bắc Mỹ.

Các trang web mà nhiều người dùng đã tải tài liệu xuống thường được xếp thứ hạng cao trong kết quả tìm kiếm. Những kẻ tấn công hiện đang lưu trữ các trang trên Google Sites để làm mồi nhử cho các tệp tải xuống độc hại. Các nhà nghiên cứu của Microsoft phát hiện những kẻ tấn công đã bắt đầu sử dụng Amazon Web Services (AWS) và dịch vụ của Strikingly cũng như Google Sites.

"Khi được mở, tệp PDF sẽ nhắc người dùng tải xuống tệp .doc hoặc phiên bản .pdf của thông tin mà họ muốn. Người dùng sẽ nhấp vào liên kết được chuyển hướng qua 5 đến 7 trang web có TLD như .site, .tk và .ga". Sau nhiều lần chuyển hướng, người dùng sẽ bị dẫn đến một trang web do kẻ tấn công kiểm soát, trang này bắt chước Google Drive và được yêu cầu tải xuống tệp tài liệu. Trong đó thường chứa phần mềm độc hại SolarMarker".

Tuy nhiên, Microsoft cũng đã xem xét các tệp được tải xuống ngẫu nhiên và không phải tất cả số đó đều chứa phần mềm độc hại. Tin tặc đã sử dụng phương pháp này để tránh bị phát hiện. Tin tặc chuyển dữ liệu bị đánh cắp đến máy chủ điều khiển và kiểm soát chúng, đồng thời tạo các phím tắt trong thư mục Khởi động cũng như sửa đổi các phím tắt trên màn hình nền để tồn tại trong hệ thống.