Araştırmacılar, SolarMarker kötü amaçlı yazılımının arkasındaki siber saldırı grubunu, ABD, Kanada, İngiltere ve Avrupa’da varlığı bulunan küresel bir vergi danışmanlığı kuruluşunu hedef alan ve sulama deliği saldırılarının bir parçası olarak sahte Chrome tarayıcı güncellemelerini kullanan siber saldırı grubunu keşfettiler.
Grup için, spamdexing olarak da bilinen önceki arama motoru optimizasyonu (SEO) zehirlenmesi yönteminin yerini alan yeni bir yaklaşımdır.
SolarMarker, kurbanların Web tarayıcılarından otomatik doldurma verilerini, kayıtlı şifreleri ve kayıtlı kredi kartı bilgilerini sızdırabilen çok aşamalı bir kötü amaçlı yazılımdır.
Daha Geniş Bir Saldırıya Hazırlık mı?
Göre bir tavsiye eSentire’in Tehdit Müdahale Birimi (TRU) tarafından Cuma günü yayınlanan bir raporda, tehdit grubunun popüler açık kaynaklı içerik yönetim sistemi WordPress ile oluşturulmuş bir tıbbi ekipman üreticisinin web sitesindeki zayıflıklardan yararlandığı görüldü.
Kurban, bir vergi danışmanlığı kuruluşunun çalışanıydı ve üreticiyi Google’da adıyla aradı.
Danışman, “Bu, çalışanı bir Chrome güncellemesi olarak gizlenen SolarMarker’ı indirip çalıştırması için kandırdı” dedi.
Danışmanlık, “Sahte tarayıcı güncelleme kaplama tasarımı, kurbanın virüslü web sitesini ziyaret ederken hangi tarayıcıyı kullandığına bağlıdır.” “Chrome’un yanı sıra, kullanıcı sahte Firefox veya Edge güncelleme PHP sayfasını da alabilir.”
TRU ekibinin bu vektör türünün yalnızca tek bir enfeksiyonunu gözlemlediği göz önüne alındığında, SolarMarker grubunun yeni taktikleri test edip etmediği veya daha geniş bir kampanyaya mı hazırlandığı belli değil. popüler iş belgeleri ve iş formları.
Uç Noktaları İzleyin, Çalışan Bilincini Artırın
TRU danışma belgesi, otomatik olarak gerçekleşen tarayıcı güncellemeleri konusunda çalışanların farkındalığını artırmak ve bilinmeyen sitelerden dosya indirmekten kaçınmak da dahil olmak üzere, kuruluşların bu tür saldırıların etkisini azaltmak için atabilecekleri dört temel adımı özetlemektedir.
Danışman, “Tehdit aktörleri, işletmelerin aradığı belge türlerini araştırır ve SEO ile onların önüne geçmeye çalışır” dedi. “İnternetten içerik indirirken yalnızca güvenilir kaynakları kullanın ve ücretsiz ve paket yazılımlardan kaçının.”
Danışmanlık ayrıca, TRU’nun eklediği, en son kampanyaları tespit etmek için daha sık kural güncellemeleri ve ayrıca kuruluşun genel savunma duruşunu desteklemek için gelişmiş tehdit manzarası izlemesi gerektireceği daha dikkatli uç nokta izleme önerdi.
SolarMarker Kampanyaları Hareketsiz Dönemden Sonra Geri Döndü
.NET kötü amaçlı yazılımı ilk olarak 2020’de keşfedildi ve genellikle bilgi toplama özelliklerine ve arka kapıya sahip bir PowerShell yükleyici aracılığıyla yayılır.
Ekim 2021’de Sophos Labs, ortak bir kalıbı takip eden bir dizi aktif SolarMarker kampanyasını gözlemledi: Siber suçlular, SEO tekniklerini kullanarak birkaç arama motorunun arama sonuçlarında Truva atlı içeriğe sahip web sitelerine bağlantılar yerleştirmeyi başardılar.
Menlo Security tarafından Ekim 2021’de bildirilen önceki bir SolarMarker kampanyası, 2.000’den fazla benzersiz arama terimi kullandı ve kullanıcıları, daha sonra arka kapılarla donatılmış kötü amaçlı PDF’leri bırakan sitelere çekti.