Gerdab.IR | گرداب

بیش از صد هزار وب‌سایت، PDF‌های ویروسی ارائه می‌دهند

بیش از صد هزار وب‌سایت، PDF‌های ویروسی ارائه می‌دهند
تاریخ انتشار : ۱۵ ارديبهشت ۱۴۰۰

کارشناسان امنیت سایبری متوجه شده‌اند که هکر‌ها از طریق موتور‌های جست‌وجو کاربرانی را که به دنبال مشاغل حرفه‌ای هستند، ناخواسته مجبور به نصب تروجان (Trojan) می‌کند.

به گزارش گرداب، براساس تجزیه و تحلیل eSentire، هکر‌ها افرادی که به دنبال فرم‌های PDF شرکت‌ها مانند فاکتور، رسید، پرسش‌نامه و نمونه اسناد هستند را، هدف قرار می‌دهند.

آن‌ها فایل‌های RAT را در این فرم‌ها قرار می‌دهند تا کاربران را به سمت وب‌سایت‌های تقلبی که پر از بدافزار‌ها هستند، هدایت کنند. هکر‌ها از این نمونه اسناد برای دسترسی به دستگاه‌های قربانیان استفاده می‌کنند.


eSentire گفت: «وقتی RAT روی دستگاه کاربر نصب و فعال شود، هکر‌ها می‌توانند دستگاه آن شخص را از راه دور مدیریت کنند و بدافزار‌های اضافی مانند باج‌افزارها، تروجان بانکی یا سرقت‌کننده‌ی مدارک شناسایی را روی آن بارگذاری کنند.»

انتشار PDF‌های ویروسی

eSentire می‌گوید که هر زمان کاربران فرمی را دانلود می‌کنند، خودبه‌خود روی دستگاه آن‌ها SolarMarker RAT (که به اسم‌های Yellow Cockatoo، Jupyter و Polazert نیز معروف است) نصب می‌شود. پس از فعال شدن SolarMarker RAT، هکر‌ها دستوراتی را ارسال و بدافزار‌های اضافی را روی سیستم نصب می‌کنند.

کارشناسان تصور می‌کنند که SolarMarker باعث شروع بسیاری از حملات مانند باج‌افزارها، سرقت مدارک شناسایی، کلاهبرداری یا جاسوسی سایبری می‌شوند.

eSentire در گوگل، صد هزار وب‌سایت آلوده را کشف کرده است. این صفحات وب حاوی اصطلاحات تجاری معروف و کلمات کلیدی خاص مانند رسید، فاکتور، پرسش‌نامه، روزمه و نمونه فرم هستند. در تحقیقی که قبل از این انجام شده بود، ۷۰ هزار صفحه وب شامل کلمات نمونه فرم یا فاکتور بودند. استفاده از این اصطلاحات رایج تجاری، یکی از استراتژی‌های هکرهاست تا باعث شود این وب‌سایت‌ها موقع جست‌وجو، جزو وب‌سایت‌های پیشنهادی اول باشند.

اطلاعات بیشتر درباره‌ی SolarMarker

• هکر‌ها صد‌ها صفحه‌ی وب را با اصطلاحات تجاری معروف پر کرده‌اند، تا زمانی که کاربری یکی از آن‌ها را جست‌وجو کند، وب‌سایت مورد نظر آن‌ها جزو چند جست‌وجوی برتر نمایش داده می‌شود.


• آلودگی دستگاه زمانی اتفاق می‌افتد که کاربر PDF را باز می‌کند. این روشی رایج برای نفوذ بدافزار‌ها به دستگاه است که نشان‌دهنده‌ی بالا بودن سطح امنیت برنامه‌هایی مانند مرورگر‌هایی است که روی کد‌های آسیب‌پذیر نظارت دارند. متاسفانه، این موضوع هم‌چنین نشان‌دهنده‌ی یک نقطه‌ی کور در نحوه‌ی مدیریت است که اجازه می‌دهد کاربران فایل‌های نامعتبر را روی دستگاه اجرا کنند.


• کمپین SolarMarker از انواع برنامه‌ها استفاده می‌کند. اخیراً، TRU اعلام کرده است که نرم‌افزار Slim PDF Reader یک تله‌ای بوده که روی دستگاه قربانیان نصب می‌شده است. این به عنوان یک نکته انحرافی عمل می‌کرد تا شخص قربانی را متقاعد سازد که PDF را دانلود کند.


Spence Hutchinson، مدیر تهدیدات سایبری در eSentire گفت: «مدیران امنیتی و تیم آن‌ها باید بدانند که اعضای SolarMarker تلاش کرده‌اند تا با استفاده از تاکتیک‌های مختلف، فایل‌های ویروسی خود را در بخش‌های تجاری حرفه‌ای پنهان کنند. نگران‌کننده‌ترین موضوع اینجاست که گروه SolarMarker بسیاری از صفحات وب خود را با کلمات کلیدی مرتبط با اسناد مالی مانند بیانیه‌ها، رسید، فاکتور و ... پر کرده‌اند.»