Microsoft Security Intelligence предупреждает пользователей о вредоносных PDF-файлах

Microsoft Security Intelligence предупреждает пользователей о вредоносных PDF-файлах, распространяемых разработчиками бэкдора SolarMarker (Jupyter).

Злоумышленники используют известную старую технику «отравления SEO» (SEO poisoning) для наполнения PDF-файлов ключевыми словами и ссылками, перенаправляющими жертв на вредоносное ПО для кражи паролей и учетных данных. Первоначально в качестве хостинга использовался ресурс Google Sites, однако потом злоумышленники перешли на платформы Amazon Web Services (AWS) и Strikingly.

В апреле нынешнего года эксперты выявили огромное количество уникальных вредоносных web-страниц, содержащих популярные бизнес-термины и определенные ключевые слова, такие как «шаблон», «счет-фактура», «квитанция», «анкета» и «резюме».

PDF-документы созданы с целью оказаться среди первый результатов поисковых запросов. Злоумышленники наполнили файлы всевозможными поисковыми запросами, с более 10 тыс. словосочетаний — от «форма страхования» и «согласие с условиями контракта» до «ответов на математические задачи».

Найденные в поиске страницы или PDF-файлы обманом заставляют пользователей перейти по ссылке якобы для загрузки необходимого документа в формате PDF или DOC. Затем пользователь перенаправляется через ряд сторонних сайтов на ресурс, замаскированный под страницу Google Drive, откуда загружается вредоноснуая программа SolarMarker.