惡意軟件SolarMarker攻擊者利用“搜索引擎投毒”（SEO Poisoning）技術竊取用戶密碼

2021年6月15日，據國際網絡安全媒體ThreatPost報道，微軟安全情報部門發表文章稱，使用惡意軟件SolarMarker（又稱“Yellow Cockatoo”、“Jupyter”和“Polazert”）的攻擊者正在利用“搜索引擎投毒”（SEO Poisoning）技術，使用Google Sites、亞馬遜云服務（AWS）和Strikingly（免費網站建站工具）部署了數千個惡意PDF文檔，誘使用戶下載惡意軟件以竊取用戶密碼和憑據。 微軟指出，“搜索引擎投毒”技術并非新型攻擊技術，但較難防御。此次攻擊中，攻擊者在數千個惡意PDF文檔中填充了超過10頁的關鍵詞和鏈接，所涵蓋的主題十分寬泛，以使得惡意PDF文檔能夠顯示于搜索結果的頂部。用戶點擊文檔中的惡意鏈接后，會被重定向至托管著惡意軟件的鏈接。該鏈接誘使用戶下載惡意軟件（通常為具有遠程控制功能SolarMarker），進一步從用戶瀏覽器中竊取數據和憑據并發送至命令控制服務器，同時通過在啟動文件夾中創建快捷方式和修改桌面快捷方式來建立持久性。 加拿大網絡安全企業eSentire曾于2021年4月發布報告揭露惡意軟件SolarMarker的傳播活動，指出攻擊者通過Google平臺部署了10萬余個含有“模板”、“發票”、“收據”、“問卷”和“簡歷”等關鍵搜索詞的惡意頁面，可分發惡意軟件SolarMarker，進一步將勒索軟件、信息竊取程序、銀行木馬等其他惡意軟件植入受害主機系統中。