在过去的三个月里,eSentire 的安全研究团队发现信息窃密恶意软件 SolarMarker 都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker 的运营者使用 SEO 投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分。
SolarMarker 在长期休眠后,又忽然出现。SolarMarker 并不依赖大规模钓鱼邮件攻击,而是进行搜索引擎投毒。本次使用的虚假更新也不是首创的技术,此前 SocGholish 恶意软件就使用该方式进行攻击。
失陷 WordPress 网站被当作水坑
SolarMarker 的攻击者利用伪造的 Chrome 浏览器更新作为水坑攻击的一部分。黑客会选择那些对受害者有吸引力的网站,攻陷并部署恶意软件。
许多网站都是使用 CMS 搭建的,这些系统中包含的漏洞被攻击者利用。本次攻击行动中,SolarMarker 主要针对 WordPress 搭建的网站进行攻击。
典型的场景是:受害者为一家税务咨询公司的员工,在 Google 上搜索一家医疗设备制造商的名称,在访问 WordPress 部署的网站时,系统会提示用户下载伪造的 Chrome 更新。
与 SocGholish 恶意软件不同
SolarMarker 和 SocGholish 二者所使用的技术细节完全不同。由于只发现了 SolarMarker 为数不多的攻击,有可能是攻击者正在测试新的攻击方式。当然,这也有可能是 SolarMarker 一波新攻击的开始。
虚假浏览器更新提醒是根据受害者访问网站时使用的浏览器联动的,除了 Chrome 攻击者也提供了 Firefox 与 Edge 浏览器的虚假更新。页面部署在 hxxp://shortsaledamagereports[.]com上,该页面包含 Payload 的嵌入式链接。
免责声明:
1.本站上传的源码,均为平台购买,作者提供,网友推荐,互联网平台整理而来,请下载后24小时内删除。如有需要,请购买正版.
2.请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
3.站内资源若侵犯了您的合法权益,请指出本站立即改正。
4.上述内容仅供学习参考及技术交流之用,未经相关的知识产权权利人同意,用户不得进行商业使用。
5.保姆式服务,百分百售后!
