Home » News » Cybersecurity » SolarMarker nutzt SEO: Im Suchmaschinen-Blindflug die Verteidigung umgehen

SolarMarker nutzt SEO: Im Suchmaschinen-Blindflug die Verteidigung umgehen

2 Min. Lesezeit
© AdobeStock/James Thew

Ist es die berühmte Ruhe vor dem Sturm? Auch wenn es um SolarMarker und dessen Verbreitung über SEO-Mechanismen ruhig geworden ist, besteht die Gefahr, dass bereits verteilte und platzierte Malware aktiviert wird.

Obwohl derzeit keine aktiven SolarMarker-Verbreitungskampagnen bekannt sind, da die letzte von den Cyberkriminellen genutzte Download-Seite geschlossen wurde, sind die bereits platzierten SolarMarker-Installationen nach wie vor aktiv. Es könnte demnach nur eine Frage der Zeit sein, bis eine neue Kampagne mit einer neuen Infrastruktur gestartet wird. Davor warnen die SophosLabs in ihrem neuen Bericht namens „SolarMarker Campaign Uses Novel Registry Changes to Establish Persistence“ über den SolarMarker-Malware-Installer. Der Bericht bietet einen umfassenden Überblick über Angriffskampagnen mit der Schadsoftware aus dem Jahr 2021 mit einer wenig beruhigenden Schlussfolgerung:

Die .NET-Malware wurde erstmals 2020 entdeckt. Sie wird in der Regel über ein PowerShell-Installationsprogramm verbreitet, verfügt über Funktionen zum Sammeln von Informationen und eine Backdoor. Im Oktober 2021 beobachtete Sophos Labs eine Reihe aktiver SolarMarker-Kampagnen, die einem gemeinsamen Muster folgten: Mithilfe von SEO-Techniken gelang es den Cyberkriminellen, in den Suchergebnissen mehrerer Suchmaschinen Links zu Websites mit irreführenden Inhalten zu platzieren.

Diese SEO-Kampagnen, die eine Kombination aus Google Groups-Diskussionen und betrügerischen Webseiten sowie PDF-Dokumenten auf kompromittierten (in der Regel WordPress-) Websites nutzen, waren so effektiv, dass die SolarMarker-Köder in der Regel an der Spitze der entsprechenden Suchergebnisse standen. Diese Websites verleiteten die Benutzer zum Herunterladen eines Windows-Installationsprogramms (.msi) mit einem PowerShell-Skript, das die Malware installierte.

Das PowerShell-Skript änderte die Windows-Registrierung und legte eine .lnk-Datei im Windows-Startverzeichnis ab, um die Persistenz zu gewährleisten. Mithilfe der vom Installationsskript vorgenommenen Änderungen an der Windows-Registrierung wurde beim Laden der .lnk-Datei beim Windows-Start die Malware geladen.

Unter dem Radar der Verteidigung

Sean Gallagher, Senior Threat Researcher bei Sophos und einer der Verfasser des Berichts, sagt dazu: „Ransomware-Betreiber und andere Cyberkriminelle bevorzugen als Methoden zur Verbreitung von Malware hauptsächlich Phishing-E-Mails, die Ausnutzung des Remote Desktop Protocols oder Schwachstellen bei der Remotecodeausführung. Es gibt jedoch auch einige Kampagnen, die SEO als Verbreitungsmethode nutzen, darunter auch die untersuchten SolarMarker-Kampagnen, die derzeit eher wenig Aufmerksamkeit erhalten. Infolgedessen können diese SEO-Kampagnen unter dem Radar der Verteidiger durchschlüpfen, bis es zu spät ist und die Malware platziert ist.“

Unternehmen sollten daher zusätzlich zu einem wirksamen Security Ökosystem auch ihre Belegschaft über die Risiken im Netz aufklären und ihnen zeigen, wie sie potenziell bösartige Suchergebnisse erkennen können. Aufmerksame Mitarbeiter, welche die Warnzeichen von verdächtigen Internetseiten oder E-Mails kennen, sind eine hervorragende Verteidigungslinie. Unternehmen können hierfür formelle Online-Schulungen durchführen, Beispiele für die neuesten Bedrohungen teilen, Tests durchführen und ihren Beschäftigten einige Standardprüfungen zeigen.

 

 

Andere interessante News

Fußball-WM Streaming-Seiten zocken Fans ab

Bereits wenige Tage nach Start der FIFA Fußball Weltmeisterschaft 2022 konnten die Sicherheitsforscher des Zscaler ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf Malware-infizierte Webseiten gelockt werden sollen.

Was die IT-Sicherheit 2022 bewegt hat

Fünf Entwicklungen haben die IT-Welt 2022 besonders in Atem gehalten. So sieht es Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea, in seinem Rückblick auf Trends und Entwicklungen, welche die IT-Branche im Jahr 2022 nachhaltig beeinflusst haben.

Keylogger: Wenn der Tastaturspion mitliest

Es existieren sowohl Software- als auch Hardware-Keylogger, wobei Software-Keylogger häufiger verbreitet sind. Ihre Wirkung jedoch ist die gleiche: Unbemerkt alle Tastatureingaben und Mausklicks ihrer Opfer aufzuzeichnen und die erbeuteten Daten an Cyberkriminelle zu übermitteln.