微軟安全情報(bào)團(tuán)隊(duì)剛剛通過 Twitter 平臺(tái)發(fā)出了一則警告，提醒廣大軟件用戶注意提防一款利用了古老且狡猾的手段來傳播的新型惡意軟件。據(jù)悉，疑似 SolarMarker 幕后的惡意軟件操縱者，正在通過所謂的“搜索引擎優(yōu)化中毒”(SEO Poisoning)手段，來將惡意代碼植入受害者的計(jì)算機(jī)。

具體說來是，微軟指出這涉及利用 SEO 關(guān)鍵詞和鏈接來“填充”數(shù)以千計(jì)的 PDF 文檔。

然后這些鏈接會(huì)啟動(dòng)一系列的重定向，最終將毫無戒心的用戶引導(dǎo)至托管有惡意軟件的地址。

微軟安全情報(bào)團(tuán)隊(duì)在一系列推文中解釋稱：攻擊者試圖通過對(duì)搜索結(jié)果進(jìn)行排名的 PDF 文檔來實(shí)施傳播。

為達(dá)成這一目的，攻擊者在這些文檔中填充了超過 10 頁(yè)的關(guān)鍵詞、且涵蓋的主題也十分寬泛，從‘保單’到‘合同’、乃至‘SQL 數(shù)據(jù)庫(kù)中的 join in 查詢指令用法’和‘數(shù)學(xué)答案’。

接著，微軟提到了 eSentire 的一篇博客文章，指出攻擊者此前曾利用谷歌網(wǎng)站來托管這些受感染的文檔。

而在近期的活動(dòng)中，微軟研究人員又注意到攻擊者已轉(zhuǎn)向亞馬遜云服務(wù)(AWS)和 Strikingly 。

最近幾周，不少商業(yè)專業(yè)人士被黑客所操控、且托管于 Google Sites 上的網(wǎng)站所引誘，并在不經(jīng)意間安裝了一種已知但新興的遠(yuǎn)程訪問木馬(簡(jiǎn)稱 RAT)。

eSentire 指出，攻擊始于潛在受害者對(duì)商業(yè)表單的搜索，比如發(fā)票、問卷和收據(jù)。但在利用谷歌搜索重定向來層層設(shè)陷的情況下，一旦受害者計(jì)算機(jī)上的 RAT 被激活，攻擊者即可向目標(biāo)計(jì)算機(jī)發(fā)送指令、并將其它惡意軟件(比如勒索軟件)，上傳到受感染的系統(tǒng)上。

此外上文中提到的 SolarMarker 也是一款后門型的惡意軟件，能夠從瀏覽器竊取數(shù)據(jù)和相關(guān)憑據(jù)。

考慮到“SEO 中毒”型的惡意軟件攻擊防不勝防，微軟建議廣大計(jì)算機(jī)用戶升級(jí)到帶有最新安全措施的操作系統(tǒng)和相關(guān)配套軟件。

與此同時(shí)，該公司的 Microsoft Defender 反病毒軟件仍會(huì)持續(xù)開展檢測(cè)、以阻止在諸多環(huán)境中的數(shù)以千計(jì)的此類 PDF 文檔。

最后，eSentire 威脅情報(bào)經(jīng)理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采訪時(shí)稱，安全領(lǐng)導(dǎo)者與他們的團(tuán)隊(duì)，必須知曉 SolarMarker 幕后團(tuán)隊(duì)在商業(yè)危害上的斑斑劣跡。