Les experts en sécurité de Microsoft tirent la sonnette d’alarme sur une nouvelle menace de malware qui utilise une méthode ancienne mais sournoise pour implanter son code sur les ordinateurs des victimes.

Il semble que les opérateurs de logiciels malveillants derrière SolarMarker rencontrent un nouveau succès avec une vieille astuce appelée « empoisonnement du référencement ». Fondamentalement, selon Microsoft, cela implique de “remplir” des milliers de documents PDF avec des mots-clés et des liens SEO qui déclenchent une cascade de redirections qui conduit finalement l’utilisateur sans méfiance vers des logiciels malveillants. “L’attaque fonctionne en utilisant des documents PDF conçus pour être classés dans les résultats de recherche”, a expliqué Microsoft Security Intelligence sur Twitter ces derniers jours. « Pour y parvenir, les attaquants ont complété ces documents avec plus de 10 pages de mots-clés sur un large éventail de sujets, du « formulaire d’assurance » et « l’acceptation du contrat » à « comment se joindre à SQL » et aux « réponses mathématiques ».

Microsoft continue en pointant vers un article de blog eSentire, qui a noté que ces attaquants ont dans le passé utilisé des sites Google pour héberger ces documents infectés, tandis que lors de campagnes récentes, les chercheurs de Microsoft ont remarqué que les attaquants se sont tournés vers Amazon Web Services et Strikingly.

Les opérateurs du malware connu sous le nom de SolarMarker, Jupyter, d’autres noms visent à trouver un nouveau succès en utilisant une vieille technique : l’empoisonnement du référencement. Ils utilisent des milliers de documents PDF remplis de mots-clés et de liens SEO qui démarrent une chaîne de redirections menant finalement au malware. – Microsoft Security Intelligence (@MsftSecIntel) 11 juin 2021

Voici comment eSentire, qui est un fournisseur de cybersécurité, explique le fonctionnement du processus, au moins ces dernières semaines :

Les professionnels sont « attirés vers des sites Web contrôlés par des pirates, hébergés sur des sites Google, et installent par inadvertance un cheval de Troie d’accès à distance (RAT) connu et émergent… L’attaque commence avec la victime potentielle effectuant une recherche de formulaires commerciaux tels que des factures, des questionnaires, et les reçus. La campagne, poursuit eSentire, pose des pièges à l’aide de la redirection de recherche Google, et une fois que le RAT a été activé sur l’ordinateur d’une victime, « les acteurs malveillants peuvent envoyer des commandes et télécharger des logiciels malveillants supplémentaires sur le système infecté », y compris les ransomwares.

Microsoft note que SolarMarker, le malware mentionné ci-dessus, est un malware de porte dérobée qui vole les données et les informations d’identification des navigateurs. C’est encore une autre menace sournoise à connaître – et un autre rappel pour vous assurer que vous exécutez la dernière version de votre logiciel d’exploitation qui inclut les mesures de sécurité les plus récentes – étant donné que Microsoft a dit ce qu’on appelle ” La technique d’empoisonnement du référencement semble être assez efficace. C’est évident, car Microsoft Defender Antivirus continue de détecter et de bloquer « des milliers de ces documents PDF dans de nombreux environnements », selon la société.

Spence Hutchinson, responsable eSentire des renseignements sur les menaces, a déclaré à ThreatPost en avril que les responsables de la sécurité et leurs équipes doivent savoir que le groupe derrière SolarMarker s’est donné beaucoup de mal pour compromettre les professionnels, « étendant un vaste réseau et utilisant de nombreuses tactiques pour dissimuler avec succès leurs pièges.

