在信息爆炸的时代,人们依赖网络搜索,所以也会出现借由网络搜索进行攻击的事件。而在4月13日,安全厂商eSentire公告发现,有些在网络寻找商业文件的专业人士,点击了搜索结果后,在不知情之下,很有可能会被导向恶意网页,当他们从这里下载文件后,就会触发恶意软件安装。
根据eSentire的报告表示,这次网络犯罪的活动,是一个长期陷阱,利用Google搜索重定向与偷渡式下载的方法,一旦RAT在受害者的计算机上被触发,黑客就可以发送命令,并上传额外的恶意软件至受感染的设备,例如勒索软件、账号密码窃取器、银行木马或是将RAT作为受害者网络的据点(foothold)。
如果尝试下载文档模板,用户将被悄悄地重定向至恶意网站,而eSentire的威胁应变单位(TRU)发现了超过10万个独立网页中,包含流行的商业用语及特定关键字:范本(Template),发票(Invoice),收据(Receipt),问卷(Questionnaire)和履历(Resume)。在多达10万个以上的网页其中,在先前的搜索中,有7万个网页是涉及模板或发票,而这些专业用语充当关键字,成为威胁份子将搜索优化的策略,让Google的网络爬虫确信所查询内容符合PageRank得分较高的条件。
接着,一旦目标坐落在黑客控制的网站上,页面就会显示他们正在搜索的文件下载按钮,当点击后,商务专业人士就会被偷偷地重定向到一个恶意网站,该网站提供下载伪造PDF及Word且可执行的文件。其中,在eSentire的调查事件中,当用户打开了执行文件,就会在同时安装SolarMarker RAT(也称为Yellow Cockatoo,Jupyter和Polazert),跟附加的Slime PDF文件查看软件,而该软件是一个合法的应用程序,由攻击者安装的,目的是为了达到让受害者确信他们寻求的文件合法性,也是分散RAT在安装时的注意力。而SolarMarker与其他RAT一样,只要被触发,攻击者就可以发送命令将文件上传到受感染的系统。不过TRU表示,他们未观察到SolarMarker感染目标后采取什么行动。
其实,eSentire表示,早在去年,就发现了用.NET框架编写的SolarMarker RAT,,而他们观察到关注文件被丢弃以识别主机,因此TRU开始进行关注。而2020的10月及11月,SolarMarker都利用docx2rtf.exe作为诱饵来分散用户的注意力,让.NET默默在背景安装。他们也引述了Red Canary的报告,提及SolarMarker在之后使用了photodesigner7_x86-64.exe和Expert_PDF.exe来更改诱饵程序,而TRU指出,他们还看得到docx2rtf.exe,但如今的发现是SolarMarker正在使用Slime PDF文件查看软件。
不过,关于整个攻击过程如何进行的呢?以TRU观察到的最新事件为例,受害者是来自金融业,他们在寻找文件的免费模板或版本时,但在过程中被导向了被攻击者控制的Google协作平台的网站页面,并点击了已被嵌入恶意程序的下载按钮,而跟着被安装的诱饵程序Slime PDF文件查看软件,会降低受害者的怀疑,因为视觉上可以看到刚刚下载的文件,而安装好的恶意程序便不被发现。
另外,在这份报告中,也提到了SolarMarker攻击方法的演变,TRU在去年10月发现SolarMarker是将Shopify作为平台目标。然而,到了2021年,将平台转移至Google协作平台。而关于文件的利用,Google协作平台的用法,是攻击者使用关键字加载重定向的内容,并可以将关键字内容直接放在网站中,但对于Shopify,则是在PDF档中底部隐藏的空白文本中。
感染过程,从Google搜索引擎输入到关键字,得到搜索结果,点击后重定向网页,经过受害者下载文件后,接着不知不觉地安装恶意软件。
解释了SolarMarker安装过程路径,会发现安装程序文件上的Adobe图标。而标有(未知)标记的RAT安装诱饵程序,并调用恶意的PowerShell。
已重定向的网页中,PDF与Word文件的假连接。
Slim PDF文件查看软件,呈现的画面。