Χάκερς χρησιμοποιούν τακτικές βελτιστοποίησης μηχανών αναζήτησης (SEO) για να προσελκύσουν επιχειρηματικούς χρήστες σε πάνω από 100.000 κακόβουλα Google sites που φαίνονται νόμιμα, αλλά στην πραγματικότητα εγκαθιστούν ένα trojan απομακρυσμένης πρόσβασης (RAT) – το SolarMarket – που χρησιμοποιείται για την παραβίαση ενός δικτύου και, ακολούθως, τη «μόλυνση» συστημάτων με ransomware, credential-stealers, banking trojans και άλλα malware.
Το Threat Response Unit (TRU) της “eSentire” ανακάλυψε κακόβουλα sites που περιέχουν δημοφιλείς επιχειρηματικούς όρους / συγκεκριμένες λέξεις-κλειδιά, συμπεριλαμβανομένων business-form λέξεων-κλειδιών όπως template, invoice, απόδειξη, ερωτηματολόγιο και βιογραφικό σημείωμα, ανέφεραν ερευνητές σε μια έκθεση που δημοσιεύθηκε στις 14 Απριλίου.
Οι επιτιθέμενοι χρησιμοποιούν την ανακατεύθυνση αναζήτησης Google και drive-by-download τακτικές για να κατευθύνουν τα ανυποψίαστα θύματα στο RAT — το οποίο έχει λάβει από την eSentire την ονομασία “SolarMarket” (άλλες ονομασίες που έχει λάβει είναι Jupyter, Yellow Cockatoo και Polazert). Συνήθως, ένα άτομο που επισκέπτεται το «μολυσμένο» site απλώς εκτελεί ένα binary που έχει τη μορφή PDF, κάνοντας κλικ σε μια δήθεν «φόρμα» – μολύνοντας έτσι τη συσκευή του.
Επιπλέον, οι ερευνητές επεσήμαναν τα ακόλουθα: «Αυτή είναι μια ολοένα και πιο συνήθης τάση όσον αφορά τη διανομή malware. Δυστυχώς, αυτό αποκαλύπτει ένα έντονο blind spot στα στοιχεία ελέγχου, το οποίο επιτρέπει στους χρήστες να εκτελούν μη αξιόπιστα binaries ή script files».
Πρόκειται για μία κακόβουλη εκστρατεία που δεν είναι μόνο εκτεταμένη αλλά και περίπλοκη.
Οι πιο συνηθισμένοι επιχειρηματικοί όροι χρησιμεύουν ως λέξεις-κλειδιά για τη στρατηγική βελτιστοποίησης αναζήτησης των παραγόντων απειλής, που πείθουν τον web crawler της Google ότι το περιεχόμενο πληροί τις προϋποθέσεις για υψηλή βαθμολογία σελίδας, πράγμα που σημαίνει ότι τα κακόβουλα sites θα εμφανίζονται στην κορυφή των αναζητήσεων των χρηστών, σύμφωνα με την έκθεση. Αυτό αυξάνει την πιθανότητα τα θύματα να δελεαστούν να επισκεφθούν μολυσμένα sites.
Πηγή: secnews.gr
