SolarMarker, le malware qui abuse du SEO
Les cyberattaquants à l’origine de SolarMarker utilisent le SEO pour diffuser leur malware. Ils chargent des documents PDF remplis de mots-clés de SEO (“search engine optimization”, ou optimisation des moteurs de recherche en français, NDLR), augmentant leur visibilité sur les moteurs de recherche, afin de conduire les victimes potentielles vers un logiciel malveillant qui se fait passer pour Google Drive.
Selon Microsoft, SolarMarker est un malware qui installe une porte dérobée permettant de voler les données et les informations d’identification des navigateurs.
Des techniques de SEO pour propager un malware
Le “SEO poisoning” (référencement abusif, NDLR) est une vieille technique qui utilise les moteurs de recherche pour diffuser des logiciels malveillants. Dans ce cas, les attaquants utilisent des milliers de PDF remplis de mots-clés et de liens qui amènent les personnes imprudentes sur plusieurs sites qui redirigent vers un site qui installe le malware.
« L’attaque fonctionne en utilisant des documents PDF conçus pour être classés dans les résultats de recherche. Pour y parvenir, les attaquants ont rempli ces documents de 10 pages de mots-clés sur un large éventail de sujets, allant de “formulaire d’assurance” et “acceptation de contrat” à “comment joindre en SQL” et “réponses à des questions de mathématiques” », indique Microsoft Security Intelligence dans un tweet.
Détecté depuis février
Crowdstrike a tiré la sonnette d’alarme à propos de SolarMarker en février, pour avoir utilisé ces mêmes tactiques de référencement abusif. Le malware ciblait principalement des utilisateurs en Amérique du Nord.
Les attaquants hébergeaient des pages sur des sites Google pour attirer les téléchargements malveillants. Les sites en question faisaient la promotion du téléchargement de documents et étaient souvent bien classés dans les résultats de recherche, toujours dans le but d’améliorer le classement des recherches.
Les chercheurs de Microsoft ont constaté que les attaquants ont commencé à utiliser les services d’Amazon Web Services (AWS) et de Strikingly, ainsi que les sites Google.
Une technique efficace
« Lorsqu’ils sont ouverts, les PDF invitent les utilisateurs à télécharger un fichier .doc ou une version .pdf de l’information souhaitée. Les utilisateurs qui cliquent sur les liens sont redirigés vers cinq à sept sites avec des TLD tels que .site, .tk et .ga », précise Microsoft. « Après de multiples redirections, les internautes arrivent sur un site contrôlé par les attaquants, qui imite Google Drive, et on leur propose de télécharger un document. »
Généralement, il s’agit du malware SolarMarker/Jupyter, mais Microsoft précise que les fichiers peuvent aussi être des documents aléatoires, placés là vraisemblablement dans le cadre d’une méthode pour éviter aux attaquants d’être détectés.
Quand il s’agit du malware sus-nommé, il exfiltre les données volées vers un serveur de commande et de contrôle et persiste en créant des raccourcis dans le dossier Démarrage, ainsi qu’en modifiant les raccourcis sur le bureau.
« Les données de Microsoft 365 Defender montrent que cette technique de SEO poisoning est efficace, étant donné que Microsoft Defender Antivirus a détecté et bloqué des milliers de ces documents PDF dans de nombreux environnements », précise le géant de Redmond.
Source : ZDNet.com
