微软警告 SolarMarker 恶意软件正在利用狡猾的 SEO 中毒手段来传播

微软安全情报团队刚刚通过 Twitter 平台发出了一则警告，提醒广大软件用户注意提防一款利用了古老且狡猾的手段来传播的新型恶意软件。据悉，疑似 SolarMarker 幕后的恶意软件操纵者，正在通过所谓的“搜索引擎优化中毒”（SEO Poisoning）手段，来将恶意代码植入受害者的计算机。

http://hackernews.cc/wp-content/uploads/2021/06/9b2f42f9533ae88-600x469.png

具体说来是，微软指出这涉及利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档。

然后这些链接会启动一系列的重定向，最终将毫无戒心的用户引导至托管有恶意软件的地址。

微软安全情报团队在一系列推文中解释称：攻击者试图通过对搜索结果进行排名的 PDF 文档来实施传播。

为达成这一目的，攻击者在这些文档中填充了超过 10 页的关键词、且涵盖的主题也十分宽泛，从‘保单’到‘合同’、乃至‘SQL 数据库中的 join in 查询指令用法’和‘数学答案’。

http://hackernews.cc/wp-content/uploads/2021/06/3a0ec41333f639d-476x600.png

接着，微软提到了 eSentire 的一篇博客文章，指出攻击者此前曾利用谷歌网站来托管这些受感染的文档。

而在近期的活动中，微软研究人员又注意到攻击者已转向亚马逊云服务（AWS）和 Strikingly 。

http://hackernews.cc/wp-content/uploads/2021/06/09a83b603bae6c9-579x600.png

最近几周，不少商业专业人士被黑客所操控、且托管于 Google Sites 上的网站所引诱，并在不经意间安装了一种已知但新兴的远程访问木马（简称 RAT）。

eSentire 指出，攻击始于潜在受害者对商业表单的搜索，比如发票、问卷和收据。但在利用谷歌搜索重定向来层层设陷的情况下，一旦受害者计算机上的 RAT 被激活，攻击者即可向目标计算机发送指令、并将其它恶意软件（比如勒索软件），上传到受感染的系统上。

http://hackernews.cc/wp-content/uploads/2021/06/dfeeb6df1143054.png

此外上文中提到的 SolarMarker 也是一款后门型的恶意软件，能够从浏览器窃取数据和相关凭据。

考虑到“SEO 中毒”型的恶意软件攻击防不胜防，微软建议广大计算机用户升级到带有最新安全措施的操作系统和相关配套软件。

与此同时，该公司的 Microsoft Defender 反病毒软件仍会持续开展检测、以阻止在诸多环境中的数以千计的此类 PDF 文档。

最后，eSentire 威胁情报经理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采访时称，安全领导者与他们的团队，必须知晓 SolarMarker 幕后团队在商业危害上的斑斑劣迹。

（消息及封面来源：cnBeta）