Internet inondé de plus de 100 000 pages diffusant des fichiers PDF malveillants

Les chercheurs en cybersécurité ont découvert des menaces utilisant des moteurs de recherche pour inciter les professionnels à installer par inadvertance un cheval de Troie d’accès à distance (RAT).

Selon une analyse d’eSentire, les acteurs des menaces ciblent les utilisateurs à la recherche de formulaires PDF d’entreprise tels que des factures, des modèles, des reçus, des modèles de documents et des questionnaires. Les attaquants cacheraient RAT dans ces formulaires pour rediriger les utilisateurs vers les sites Web frauduleux qui hébergent le malware. Les pirates utilisent les modèles de documents malveillants pour s’infiltrer dans les appareils des victimes.

«Une fois que le RAT est sur l’ordinateur de la victime et activé, les acteurs de la menace peuvent envoyer des commandes et télécharger des logiciels malveillants supplémentaires sur le système infecté, comme un ransomware, un voleur d’informations d’identification, un cheval de Troie bancaire, ou simplement utiliser le RAT comme point d’ancrage de la victime. réseau », a déclaré eSentire.

Diffusion de fichiers PDF malveillants

Les chercheurs d’eSentire ont constaté que chaque fois que l’utilisateur télécharge un formulaire, il installe simultanément le SolarMarker RAT (également connu sous le nom de Cacatoès jaune, Jupyter, et Polazert). Une fois que SolarMarker est actif, les cybercriminels envoient des commandes et téléchargent des charges utiles de logiciels malveillants supplémentaires sur le système infecté. Les chercheurs soupçonnent que SolarMarker est capable de mener un large éventail d’attaques, y compris les ransomwares, le vol d’informations d’identification, la fraude ou les opérations de cyberespionnage.

eSentire a découvert plus de 100 000 pages Web déployées par des auteurs de menaces via Google Sites. Ces pages Web uniques contiennent des termes commerciaux populaires / des mots clés particuliers tels qu’un modèle, une facture, un reçu, un questionnaire et un CV. «Dans une recherche préliminaire, 70 000 pages Web uniques incluaient la mention d’un modèle ou d’une facture. Ces termes commerciaux courants servent de mots clés pour la stratégie d’optimisation de la recherche des acteurs de la menace, convaincant le robot d’exploration de Google que le contenu prévu remplit les conditions d’un score PageRank élevé », a ajouté eSentire.

Autres résultats sur SolarMarker

• Les acteurs de la menace ont créé des dizaines de centaines de pages Web avec des termes commerciaux populaires, tels que facture, relevé, reçu, questionnaire, de sorte que lorsqu’un professionnel recherche sur Internet un modèle d’entreprise spécifique, il y a une chance que la recherche principale les résultats incluront l’une de leurs pages malveillantes.
• Le processus d’infection repose sur l’exploitation de l’utilisateur et non sur une application. L’utilisateur exécute simplement un binaire déguisé en PDF pour infecter la machine. Il s’agit d’une tendance de plus en plus courante avec la diffusion de logiciels malveillants, qui témoigne de l’amélioration de la sécurité des applications telles que les navigateurs qui gèrent le code vulnérable. Malheureusement, cela révèle un angle mort flagrant dans les contrôles qui permettent aux utilisateurs d’exécuter à volonté des binaires ou des fichiers de script non fiables.
• La campagne SolarMarker utilise une variété d’applications leurres. Plus récemment, TRU a observé que le logiciel de lecture Slim PDF était un leurre téléchargé sur l’ordinateur de la victime. Cela sert de distraction, ainsi qu’un élément supplémentaire pour aider à convaincre la victime qu’elle télécharge un pdf.

«Les responsables de la sécurité et leurs équipes doivent savoir que le groupe de menaces derrière SolarMarker a déployé de nombreux efforts pour compromettre les professionnels, étendre un large réseau et utiliser de nombreuses tactiques pour dissimuler avec succès leurs pièges. Un autre aspect troublant de cette campagne est que le groupe SolarMarker a rempli bon nombre de ses pages Web malveillantes de mots-clés relatifs à des documents financiers, par exemple des relevés, des reçus, des factures, etc. », a déclaré Spence Hutchinson, directeur de Threat Intelligence pour eSentire.