YIKES! Hackers flood the web with 100,000 pages offering malicious PDFs
2021/04/15 TheHackerNews — サイバー犯罪者たちは、検索エンジン・ポイズニングという手法を用いて、正規の Google サイトに見える場所にビジネスマンを誘い込み、さまざまな攻撃を実行するためのできる Remote Access Trojan (RAT) というトロイの木馬をインストールさせている。
この攻撃では、請求書や領収証などのテンプレートといったビジネス・フォームの検索を利用して、システムに侵入するための足がかりを作る。つまり、疑惑の文書テンプレートをダウンロードするユーザーたちは、マルウェアをホストしている悪意の Web サイトに、知らないうちにリダイレクトされてしまう。eSentire の研究者たちは論文の中で、「被害者のコンピュータ上で RAT が起動すると、犯罪者たちはコマンドを送信し、ランサムウェアや、認証情報窃取プログラム、バンキング・トロイ木馬などのマルウェアを流し込むことが可能となる。また、感染者のネットワークへの足がかりとして、RAT を使用することも可能となる」と述べている。
eSentireによると、一般的なビジネス用語やキーワード (テンプレート、請求書、領収書、アンケート、履歴書など) を含む Web ページは、10万件以上もあるそうです。そのため、これらのページは検索結果の上位に表示され、アクセス頻度も高まります。そして攻撃者の管理する Webサイトにアクセスし、検索対象の文書をダウンロードすると、それがより高度な脅威の入り口となり、最終的には .NET-based RAT であるSolarMarker(別名:Yellow Cockatoo、Jupyter、Polazert)がインストールされます。同社の調査によると、ある金融管理会社の従業員が関与したケースでは、マルウェアの実行ファイルが PDF 文書に偽装されており、RAT の展開へと至ったそうです。昔から、ただより高いものはないと言われますが、ラクしてノウハウを得ようとすることで、トロイの木馬を招き入れてしまわないよう、気をつけましょうね。
IoT OT Security News 