Малициозен софтвер познат како SolarMarker, користи PDF-документи со клучни зборови за оптимизација на прелистувачот (SEO).
Хакерите кои стојат зад овие напади на тој начин ја подобруваат својата видливост на прелистувачите, со цел да ги наведат потенцијалните жртви кон малверот на штетната веб-страница, која се претставува како Google Drive.
Според Microsoft, SolarMarker е backdoor малициозен софтвер кој краде податоци и лозинки од прелистувачите. SEO poisoning е техника од „старата школа“, која користи прелистувачи за ширење на малверот што оперира масовно. Хакерите користат илјадници PDF-датотеки исполнети со клучни зборови и врски, кои ги пренасочуваат невнимателните корисници од повеќе локации кон онаа што инсталира малициозен софтвер.
Хакерите користат PDF документи со повеќе од 10 страници клучни зборови од широк спектар на теми, од „образец за осигурување“ и „прифаќање на договор“ до математички одговори, велат од Microsoft Security Intelligence.
Малверот главно е насочен кон корисниците во Северна Америка.
Кога се отвораат, PDF-датотеките ги охрабруваат корисниците да преземат датотека .doc или .pdf верзија на саканата информација. Корисниците кои ќе кликнат на врската се пренасочуваат преку 5 до 7 страници со TLD, како што се .site, .tk и .ga, соопшти Microsoft. По повеќекратни пренасочувања, корисниците доаѓаат до локација контролирана од хакерите што имитира Google Drive и од нив се бара да преземат датотека. Ова обично доведува до малверот SolarMarker/Jupyter, кој ги ексфилтрира украдените податоци на command-and-control сервер и продолжува да создава shortcuts во директориумот Startup, како и да менува постојни shortcuts на десктопот.
Податоците на Microsoft 365 Defender покажуваат дека техниката SEO poisoning е ефикасна, со оглед на тоа што Microsoft Defender Antivirus откри и блокираше илјадници овие PDF-документи во голем број средини, соопшти Microsoft.
