Les cybercriminels ont recours à des techniques d’empoisonnement des moteurs de recherche pour attirer les professionnels dans des sites Google apparemment légitimes qui installent un cheval de Troie d’accès à distance (RAT) capable de mener un large éventail d’attaques.
L’attaque fonctionne en tirant parti des recherches de formulaires commerciaux tels que les factures, les modèles, les questionnaires et les reçus comme tremplin vers l’infiltration des systèmes. Les utilisateurs qui tentent de télécharger les modèles de documents présumés sont redirigé, à leur insu, vers un site Web malveillant qui héberge le logiciel malveillant.
« Une fois que le RAT est sur l’ordinateur de la victime et activé, les acteurs de la menace peuvent envoyer des commandes et télécharger des logiciels malveillants supplémentaires sur le système infecté, comme un ransomware, un voleur d’informations d’identification, un cheval de Troie bancaire, ou simplement utiliser le RAT comme point d’ancrage dans la victime. réseau, « chercheurs d’eSentire mentionné dans un article publié mardi.
La société de cybersécurité a déclaré avoir découvert plus de 100000 pages Web uniques contenant des termes commerciaux populaires ou des mots-clés tels que modèle, facture, reçu, questionnaire et CV, permettant ainsi aux pages d’être mieux classées dans les résultats de recherche et augmentant ainsi la probabilité. de succès.
Une fois qu’une victime atterrit sur le site Web contrôlé par l’attaquant et télécharge le document recherché, il devient un point d’entrée pour des menaces plus sophistiquées, aboutissant finalement à l’installation d’un RAT basé sur .NET appelé SolarMarker (alias Yellow Cockatoo, Jupyter et Polazert).
Dans un cas étudié par eSentire, qui impliquait un employé d’une société de gestion financière, l’exécutable du logiciel malveillant était déguisé en un document PDF qui, une fois lancé, déployait le RAT avec une version légitime de Slim PDF comme leurre.
«Un autre aspect troublant de cette campagne est que le groupe SolarMarker a peuplé bon nombre de ses pages Web malveillantes de mots-clés relatifs à des documents financiers», a déclaré Spence Hutchinson, responsable du renseignement sur les menaces chez eSentire.
«Un groupe de cybercriminalité financière considérerait un employé, travaillant dans le service financier d’une entreprise, ou un employé travaillant pour une organisation financière, comme une cible de grande valeur. Malheureusement, une fois qu’un RAT est confortablement installé, les activités de fraude potentielles sont nombreuses. «