Таким образом, им удается распространить программу-вымогателя REvil и бэкдор SolarMarker на более широкую аудиторию.
И, что интересно, мошенники выбрали новую тактику: атаки происходят не только на компании, но и на отдельных сотрудников. Вероятнее всего причина в текущей тенденции перехода на удаленную работу, где зачастую границы между использованием личных и рабочих устройств стираются, что является прямой угрозой для информационной безопасности данных компаний.
Во время такой атаки преступники сначала взламывают официальные сайты, потом добавляют ключевые слова, которые часто используются при поиске, и, таким образом, создают условия, чтобы скомпрометированный сайт появлялся в топе результатов поисковой системы.
Аналитическая компания Menlo Security отследила, что инфицирование вирусом SolarMarker происходило, когда пользователи, переходили по отравленной ссылке и запускали загрузку вредоносного PDF-файла, размещенного на взломанном сайте. Эффективность такого способа объясняется тем, что злоумышленники подобрали наборы ключевых слов, хорошо подходящие для отраслей, на которые они были нацелены.
Компания заявила, что обнаружила более 2000 уникальных поисковых запросов, которые привели пользователей на сайты, где размещен SolarMarker. Например, были такие запросы как: «контрольный список обследования промышленной гигиены» и «опросник по определению психической стойкости в различных видах спорта». Атаки были рассчитаны на пользователей из разных отраслей, включая финансовые услуги, промышленное производство, здравоохранение, автомобилестроение, розничную торговлю, транспорт и телекоммуникации.
Скомпрометированные сайты, обслуживающие вредоносные PDF-файлы, были замечены по всему миру. В их списке также были правительственные веб-сайты и домены, принадлежащие известным образовательным учреждениям.
Технический директор компании Falcongaze, специалист в сфере информационной безопасности, Владимир Кадыко дал свой комментарий:
«Хакерская акция под названием SolarMarker по распространению вируса-вымогателя REvil продолжается и набирает обороты в ноябре 2021 года, поэтому важно соблюдать бдительность при получении предложений ознакомиться с результатами каких-либо исследований. Даже известные и доверенные Web-ресурсы могут стать жертвами и невольными помощниками хакеров, поэтому рекомендуется внимательно следить за тем, куда ведут ссылки на закачку интересующей информации, нет ли перенаправления на сторонние ресурсы. Если адресная строка браузера подсказывает, что вас пытаются увести или, предлагается выполнить целый квест для закачки обычного PDF, то стоит остановиться и поискать нужную информацию на других ресурсах».
Угрозы безопасности
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub
• Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств
• Microsoft удалила два популярных расширения VSCode с 9 миллионами установок из-за угроз безопасности