کارشناسان امنیت سایبری متوجه شدهاند که هکرها از طریق موتورهای جستوجو کاربرانی را که به دنبال مشاغل حرفهای هستند، ناخواسته مجبور به نصب تروجان (Trojan) میکند.
به گزارش گرداب، براساس تجزیه و تحلیل eSentire، هکرها افرادی که به دنبال فرمهای PDF شرکتها مانند فاکتور، رسید، پرسشنامه و نمونه اسناد هستند را، هدف قرار میدهند.
آنها فایلهای RAT را در این فرمها قرار میدهند تا کاربران را به سمت وبسایتهای تقلبی که پر از بدافزارها هستند، هدایت کنند. هکرها از این نمونه اسناد برای دسترسی به دستگاههای قربانیان استفاده میکنند.
eSentire گفت: «وقتی RAT روی دستگاه کاربر نصب و فعال شود، هکرها میتوانند دستگاه آن شخص را از راه دور مدیریت کنند و بدافزارهای اضافی مانند باجافزارها، تروجان بانکی یا سرقتکنندهی مدارک شناسایی را روی آن بارگذاری کنند.»
انتشار PDFهای ویروسی
eSentire میگوید که هر زمان کاربران فرمی را دانلود میکنند، خودبهخود روی دستگاه آنها SolarMarker RAT (که به اسمهای Yellow Cockatoo، Jupyter و Polazert نیز معروف است) نصب میشود. پس از فعال شدن SolarMarker RAT، هکرها دستوراتی را ارسال و بدافزارهای اضافی را روی سیستم نصب میکنند.
کارشناسان تصور میکنند که SolarMarker باعث شروع بسیاری از حملات مانند باجافزارها، سرقت مدارک شناسایی، کلاهبرداری یا جاسوسی سایبری میشوند.
eSentire در گوگل، صد هزار وبسایت آلوده را کشف کرده است. این صفحات وب حاوی اصطلاحات تجاری معروف و کلمات کلیدی خاص مانند رسید، فاکتور، پرسشنامه، روزمه و نمونه فرم هستند. در تحقیقی که قبل از این انجام شده بود، ۷۰ هزار صفحه وب شامل کلمات نمونه فرم یا فاکتور بودند. استفاده از این اصطلاحات رایج تجاری، یکی از استراتژیهای هکرهاست تا باعث شود این وبسایتها موقع جستوجو، جزو وبسایتهای پیشنهادی اول باشند.
اطلاعات بیشتر دربارهی SolarMarker
• هکرها صدها صفحهی وب را با اصطلاحات تجاری معروف پر کردهاند، تا زمانی که کاربری یکی از آنها را جستوجو کند، وبسایت مورد نظر آنها جزو چند جستوجوی برتر نمایش داده میشود.
• آلودگی دستگاه زمانی اتفاق میافتد که کاربر PDF را باز میکند. این روشی رایج برای نفوذ بدافزارها به دستگاه است که نشاندهندهی بالا بودن سطح امنیت برنامههایی مانند مرورگرهایی است که روی کدهای آسیبپذیر نظارت دارند. متاسفانه، این موضوع همچنین نشاندهندهی یک نقطهی کور در نحوهی مدیریت است که اجازه میدهد کاربران فایلهای نامعتبر را روی دستگاه اجرا کنند.
• کمپین SolarMarker از انواع برنامهها استفاده میکند. اخیراً، TRU اعلام کرده است که نرمافزار Slim PDF Reader یک تلهای بوده که روی دستگاه قربانیان نصب میشده است. این به عنوان یک نکته انحرافی عمل میکرد تا شخص قربانی را متقاعد سازد که PDF را دانلود کند.
Spence Hutchinson، مدیر تهدیدات سایبری در eSentire گفت: «مدیران امنیتی و تیم آنها باید بدانند که اعضای SolarMarker تلاش کردهاند تا با استفاده از تاکتیکهای مختلف، فایلهای ویروسی خود را در بخشهای تجاری حرفهای پنهان کنند. نگرانکنندهترین موضوع اینجاست که گروه SolarMarker بسیاری از صفحات وب خود را با کلمات کلیدی مرتبط با اسناد مالی مانند بیانیهها، رسید، فاکتور و ... پر کردهاند.»
