Главнаябезопасность100.000 сайтов Google используются для установки SolarMarket RAT

100.000 сайтов Google используются для установки SolarMarket RAT

Хакеры используют тактику поисковой оптимизации (SEO) чтобы заманить бизнес-пользователей на более чем 100.000 XNUMX вредоносных сайтов Google, которые кажутся законными, но на самом деле устанавливают трояна удаленного доступа (RAT) - SolarMarket - который используется для проникновения в сеть, а затем «заражения» систем вымогателей, кражи учетных данных, банковские трояны и другое вредоносное ПО.

Подразделение реагирования на угрозы (TRU) ESentire обнаружил вредоносные сайты, содержащие популярные бизнес-термины / конкретные ключевые слова, включая ключевые слова бизнес-формы, такие как шаблон, счет-фактура, квитанция, анкета и резюмеОб этом говорится в отчете исследователей, опубликованном 14 апреля.

Читайте также: Троян QBot заменяет IcedID в кампаниях по борьбе со спамом!

100.000 сайтов Google используются для установки SolarMarket RAT
100.000 сайтов Google используются для установки SolarMarket RAT

Злоумышленники используют переадресацию в поиске Google и тактику "drive-by-download", чтобы направить ничего не подозревающих жертв в систему RAT, которую eSentire окрестила "SolarMarket". (другие названия, которые он получил: Юпитер, Желтый какаду и Полазерт). Обычно человек, посещающий «зараженный» сайт, просто запускает двоичный файл PDF, щелкнув так называемую «форму», тем самым заражая свое устройство.

Кроме того, исследователи отметили следующее: «Это все более распространенная тенденция в распространении вредоносных программ. «К сожалению, это выявляет сильную слепую зону в элементах управления, которая позволяет пользователям запускать ненадежные двоичные файлы или файлы сценариев».

Смотрите также: Хакеры распространяют вредоносное ПО с помощью контактных форм с URL-адресами Google

Это вредоносная кампания, которая не только обширна, но и сложна.

100.000 сайтов Google используются для установки SolarMarket RAT
100.000 сайтов Google используются для установки SolarMarket RAT

Наиболее распространенные бизнес-термины служат ключевыми словами для стратегии поиска по оптимизации угроз, убеждая поискового робота Google в том, что контент соответствует высокому рейтингу страницы, а это означает, что вредоносные сайты будут появляться в верхней части поисковых запросов пользователей, согласно отчету. Это увеличивает вероятность того, что жертвы захотят посетить зараженные сайты.

Предложение: Как можно блокировать сайты в Google Chrome?

Спенс Хатчинсон, директор по анализу угроз в eSentire, сказал: «Руководители службы безопасности и их команды должны знать, что хакеры, стоящие за SolarMarket, приложили много усилий, чтобы поразить профессионалов бизнеса, распространить широкую сеть и использовать множество тактик, чтобы успешно прикрыть свои ловушки».

Исследователи описывают недавний случай, когда жертва финансовой деятельности искала бесплатный документ в Интернете и была перенаправлена ​​через Google Search на контролируемую хакерами страницу сайтов Google со встроенной кнопкой.
По мнению исследователей, кто-то, работающий в финансовом секторе, будет «ценной целью» кампании, предоставляя злоумышленникам различные методы проникновения в организацию и совершения киберпреступлений.

100.000 сайтов Google используются для установки SolarMarket RAT
100.000 сайтов Google используются для установки SolarMarket RAT

Кроме того, исследователи отметили следующее: «После установки RAT на компьютер жертвы хакеры могут распространять на устройство дополнительные вредоносные программы, например банковские трояны, которые могут использоваться для взлома учетных данных организации в режиме онлайн-банкинга. Хакеры также могут настроить таким образом средство для кражи учетных данных, чтобы собирать учетные данные электронной почты сотрудника и запускать атаку. БЭК (Компрометация деловой электронной почты). «К сожалению, после установки RAT высока вероятность мошенничества».

Согласно TRU, RAT записывается на Основы Microsoft .NET и использовал различные приложения-ловушки, которые загружаются на компьютер жертвы и, по всей видимости, принадлежат ему. Совсем недавно TRU отметил, что Программа для чтения Slim PDF была приманка, которая была загружена. Это отвлекает, а также является дополнительным элементом, чтобы убедить жертву в том, что она загружает PDF-файл.

В последние месяцы 2020 года хакеры использовали другие типы файлов для приложения-ловушки, в том числе docx2rtf.exe, photodesigner7_x86-64.exe, Expert_PDF.ex и docx2rtf.exe, согласно отчету.

Источник информации: угрозаpost.com

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ