Microsoft melacak serangkaian serangan yang menggunakan SEO poisoning untuk menginfeksi target dengan trojan akses jarak jauh (RAT) yang mampu mencuri informasi sensitif korban dan melakukan backdoor pada sistem mereka.
Malware yang dikirim dalam kampanye ini adalah SolarMarker (alias Jupyter, Polazert, dan Yellow Cockatoo), RAT .NET yang berjalan di memori dan digunakan oleh penyerang untuk menjatuhkan muatan lain pada perangkat yang terinfeksi.
SolarMarker dirancang untuk memberi masternya pintu belakang ke sistem yang disusupi dan mencuri kredensial dari browser web.
Data yang berhasil dipanen dari sistem yang terinfeksi dieksfiltrasi ke server perintah-dan-kontrol. Malware juga akan mendapatkan ketekunan dengan menambahkan dirinya ke folder Startup dan memodifikasi pintasan di desktop korban.
Pada bulan April, peneliti eSentire mengamati aktor ancaman di balik SolarMaker membanjiri hasil pencarian dengan lebih dari 100.000 halaman web yang mengklaim menyediakan formulir kantor gratis (misalnya, faktur, kuesioner, tanda terima, dan resume).
Dalam serangan terbaru yang ditemukan oleh Microsoft, penyerang telah beralih ke dokumen berisi kata kunci yang dihosting di AWS dan Strikingly, dan sekarang menargetkan sektor lain, termasuk keuangan dan pendidikan.
Setelah korban menemukan salah satu PDF perusak dan membukanya, mereka akan diminta untuk mengunduh dokumen PDF atau DOC lain yang berisi informasi yang mereka cari.
Alih-alih mendapatkan akses ke info, mereka diarahkan melalui beberapa situs web menggunakan .site, .tk, dan .ga TLD ke halaman web Google Drive yang dikloning di mana mereka menyajikan muatan terakhir, malware SolarMaker.
Selengkapnya: Bleeping Computer
