微軟安全情報(bào)團(tuán)隊(duì)剛剛通過(guò) Twitter 平臺(tái)發(fā)出了一則警告，提醒廣大軟件用戶注意提防一款利用了古老且狡猾的手段來(lái)傳播的新型惡意軟件。據(jù)悉，疑似 SolarMarker 幕后的惡意軟件操縱者，正在通過(guò)所謂的“搜索引擎優(yōu)化中毒”(SEO Poisoning)手段，來(lái)將惡意代碼植入受害者的計(jì)算機(jī)。

具體說(shuō)來(lái)是，微軟指出這涉及利用 SEO 關(guān)鍵詞和鏈接來(lái)“填充”數(shù)以千計(jì)的 PDF 文檔。

然后這些鏈接會(huì)啟動(dòng)一系列的重定向，最終將毫無(wú)戒心的用戶引導(dǎo)至托管有惡意軟件的地址。

微軟安全情報(bào)團(tuán)隊(duì)在一系列推文中解釋稱(chēng)：攻擊者試圖通過(guò)對(duì)搜索結(jié)果進(jìn)行排名的 PDF 文檔來(lái)實(shí)施傳播。

為達(dá)成這一目的，攻擊者在這些文檔中填充了超過(guò) 10 頁(yè)的關(guān)鍵詞、且涵蓋的主題也十分寬泛，從‘保單’到‘合同’、乃至‘SQL 數(shù)據(jù)庫(kù)中的 join in 查詢指令用法’和‘數(shù)學(xué)答案’。

接著，微軟提到了 eSentire 的一篇博客文章，指出攻擊者此前曾利用谷歌網(wǎng)站來(lái)托管這些受感染的文檔。

而在近期的活動(dòng)中，微軟研究人員又注意到攻擊者已轉(zhuǎn)向亞馬遜云服務(wù)(AWS)和 Strikingly 。

最近幾周，不少商業(yè)專(zhuān)業(yè)人士被黑客所操控、且托管于 Google Sites 上的網(wǎng)站所引誘，并在不經(jīng)意間安裝了一種已知但新興的遠(yuǎn)程訪問(wèn)木馬(簡(jiǎn)稱(chēng) RAT)。

eSentire 指出，攻擊始于潛在受害者對(duì)商業(yè)表單的搜索，比如發(fā)票、問(wèn)卷和收據(jù)。但在利用谷歌搜索重定向來(lái)層層設(shè)陷的情況下，一旦受害者計(jì)算機(jī)上的 RAT 被激活，攻擊者即可向目標(biāo)計(jì)算機(jī)發(fā)送指令、并將其它惡意軟件(比如勒索軟件)，上傳到受感染的系統(tǒng)上。

此外上文中提到的 SolarMarker 也是一款后門(mén)型的惡意軟件，能夠從瀏覽器竊取數(shù)據(jù)和相關(guān)憑據(jù)。

考慮到“SEO 中毒”型的惡意軟件攻擊防不勝防，微軟建議廣大計(jì)算機(jī)用戶升級(jí)到帶有最新安全措施的操作系統(tǒng)和相關(guān)配套軟件。

與此同時(shí)，該公司的 Microsoft Defender 反病毒軟件仍會(huì)持續(xù)開(kāi)展檢測(cè)、以阻止在諸多環(huán)境中的數(shù)以千計(jì)的此類(lèi) PDF 文檔。

最后，eSentire 威脅情報(bào)經(jīng)理 Spence Hutchinson 曾于 4 月接受 ThreatPost 采訪時(shí)稱(chēng)，安全領(lǐng)導(dǎo)者與他們的團(tuán)隊(duì)，必須知曉 SolarMarker 幕后團(tuán)隊(duì)在商業(yè)危害上的斑斑劣跡。