Αρχικήsecurity100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

Χάκερς χρησιμοποιούν τακτικές βελτιστοποίησης μηχανών αναζήτησης (SEO) για να προσελκύσουν επιχειρηματικούς χρήστες σε πάνω από 100.000 κακόβουλα Google sites που φαίνονται νόμιμα, αλλά στην πραγματικότητα εγκαθιστούν ένα trojan απομακρυσμένης πρόσβασης (RAT) – το SolarMarket – που χρησιμοποιείται για την παραβίαση ενός δικτύου και, ακολούθως, τη «μόλυνση» συστημάτων με ransomware, credential-stealers, banking trojans και άλλα malware.

Το Threat Response Unit (TRU) της “eSentire” ανακάλυψε κακόβουλα sites που περιέχουν δημοφιλείς επιχειρηματικούς όρους / συγκεκριμένες λέξεις-κλειδιά, συμπεριλαμβανομένων business-form λέξεων-κλειδιών όπως template, invoice, απόδειξη, ερωτηματολόγιο και βιογραφικό σημείωμα, ανέφεραν ερευνητές σε μια έκθεση που δημοσιεύθηκε στις 14 Απριλίου.

Διαβάστε επίσης: Το QBot trojan αντικαθιστά το IcedID σε malspam εκστρατείες!

100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT
100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

Οι επιτιθέμενοι χρησιμοποιούν την ανακατεύθυνση αναζήτησης Google και drive-by-download τακτικές για να κατευθύνουν τα ανυποψίαστα θύματα στο RAT — το οποίο έχει λάβει από την eSentire την ονομασία “SolarMarket” (άλλες ονομασίες που έχει λάβει είναι Jupyter, Yellow Cockatoo και Polazert). Συνήθως, ένα άτομο που επισκέπτεται το «μολυσμένο» site απλώς εκτελεί ένα binary που έχει τη μορφή PDF, κάνοντας κλικ σε μια δήθεν «φόρμα» – μολύνοντας έτσι τη συσκευή του.

Επιπλέον, οι ερευνητές επεσήμαναν τα ακόλουθα: «Αυτή είναι μια ολοένα και πιο συνήθης τάση όσον αφορά τη διανομή malware. Δυστυχώς, αυτό αποκαλύπτει ένα έντονο blind spot στα στοιχεία ελέγχου, το οποίο επιτρέπει στους χρήστες να εκτελούν μη αξιόπιστα binaries ή script files.»

Δείτε ακόμη: Χάκερς διανέμουν malware χρησιμοποιώντας φόρμες επικοινωνίας με Google URLs

Πρόκειται για μία κακόβουλη εκστρατεία που δεν είναι μόνο εκτεταμένη αλλά και περίπλοκη.

100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT
100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

Οι πιο συνηθισμένοι επιχειρηματικοί όροι χρησιμεύουν ως λέξεις-κλειδιά για τη στρατηγική βελτιστοποίησης αναζήτησης των παραγόντων απειλής, που πείθουν τον web crawler της Google ότι το περιεχόμενο πληροί τις προϋποθέσεις για υψηλή βαθμολογία σελίδας, πράγμα που σημαίνει ότι τα κακόβουλα sites θα εμφανίζονται στην κορυφή των αναζητήσεων των χρηστών, σύμφωνα με την έκθεση. Αυτό αυξάνει την πιθανότητα τα θύματα να δελεαστούν να επισκεφθούν μολυσμένα sites.

Πρόταση: Πώς μπορείτε να μπλοκάρετε sites στο Google Chrome;

Ο Spence Hutchinson, διευθυντής threat intelligence της eSentire, ανέφερε τα ακόλουθα: «Οι επικεφαλής ασφαλείας και οι ομάδες τους πρέπει να γνωρίζουν ότι οι χάκερς που βρίσκονται πίσω από το SolarMarket έχουν καταβάλει πολλές προσπάθειες για να “χτυπήσουν” επαγγελματίες επιχειρήσεων, να διαδώσουν ένα wide net και να χρησιμοποιήσουν πολλές τακτικές προκειμένου να καλύψουν επιτυχώς τις παγίδες τους.»

Οι ερευνητές περιγράφουν ένα πρόσφατο περιστατικό που ανακάλυψαν, κατά το οποίο ένα θύμα που δραστηριοποιείται στον χρηματοπιστωτικό κλάδο, αναζητούσε μια δωρεάν έκδοση εγγράφου στο διαδίκτυο και ανακατευθύνθηκε μέσω του Google Search σε ένα Google sites page που βρισκόταν υπό τον έλεγχο των χάκερς και περιλάμβανε ένα ενσωματωμένο κουμπί download.
Όπως αναφέρουν οι ερευνητές, κάποιος που εργάζεται στον χρηματοοικονομικό κλάδο θα ήταν «στόχος υψηλής αξίας» της εκστρατείας, δίνοντας στους επιτιθέμενους διάφορες μεθόδους για να παραβιάσουν έναν οργανισμό και να διαπράξουν κυβερνοέγκλημα.

100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT
100.000 Google sites χρησιμοποιούνται για την εγκατάσταση του SolarMarket RAT

Επιπλέον, οι ερευνητές επεσήμαναν τα εξής: «Μόλις εγκατασταθεί ένα RAT στον υπολογιστή του θύματος, οι χάκερς μπορούν να διανείμουν επιπλέον malware στη συσκευή, όπως ένα banking trojan, το οποίο θα μπορούσε να χρησιμοποιηθεί για να παραβιάσει τα online banking credentials του οργανισμού. Οι χάκερς θα μπορούσαν επίσης να εγκαταστήσουν έναν credential-stealer με αυτόν τον τρόπο, για να συλλέξουν τα email credentials ενός υπαλλήλου και να ξεκινήσουν επίθεση BEC (Business Email Compromise). Δυστυχώς, μόλις εγκατασταθεί ένα RAT, οι πιθανές δραστηριότητες απάτης είναι πολλές.»

Σύμφωνα με το TRU, το RAT είναι γραμμένο στο Microsoft .NET framework και έχει χρησιμοποιήσει διάφορα decoy applications που γίνονται download στον υπολογιστή ενός θύματος και φαίνεται να ανήκουν εκεί. Πιο πρόσφατα, το TRU παρατήρησε ότι το Slim PDF reader software ήταν το decoy που έγινε download. Αυτό χρησιμεύει για απόσπαση της προσοχής, καθώς και ως πρόσθετο στοιχείο για να πείσει το θύμα ότι κατεβάζει ένα PDF.

Τους τελευταίους μήνες του 2020, οι χάκερς χρησιμοποίησαν άλλους τύπους αρχείων για decoy apps, συμπεριλαμβανομένων των docx2rtf.exe, photodesigner7_x86-64.exe, Expert_PDF.ex και docx2rtf.exe, σύμφωνα με την έκθεση.

Πηγή πληροφοριών: threatpost.com

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS