SolarMarker nutzt SEO: Im Suchmaschinen-Blindflug die Verteidigung umgehen
Ist es die berühmte Ruhe vor dem Sturm? Auch wenn es um SolarMarker und dessen Verbreitung über SEO-Mechanismen ruhig geworden ist, besteht die Gefahr, dass bereits verteilte und platzierte Malware aktiviert wird.
Obwohl derzeit keine aktiven SolarMarker-Verbreitungskampagnen bekannt sind, da die letzte von den Cyberkriminellen genutzte Download-Seite geschlossen wurde, sind die bereits platzierten SolarMarker-Installationen nach wie vor aktiv. Es könnte demnach nur eine Frage der Zeit sein, bis eine neue Kampagne mit einer neuen Infrastruktur gestartet wird. Davor warnen die SophosLabs in ihrem neuen Bericht namens „SolarMarker Campaign Uses Novel Registry Changes to Establish Persistence“ über den SolarMarker-Malware-Installer. Der Bericht bietet einen umfassenden Überblick über Angriffskampagnen mit der Schadsoftware aus dem Jahr 2021 mit einer wenig beruhigenden Schlussfolgerung:
Die .NET-Malware wurde erstmals 2020 entdeckt. Sie wird in der Regel über ein PowerShell-Installationsprogramm verbreitet, verfügt über Funktionen zum Sammeln von Informationen und eine Backdoor. Im Oktober 2021 beobachtete Sophos Labs eine Reihe aktiver SolarMarker-Kampagnen, die einem gemeinsamen Muster folgten: Mithilfe von SEO-Techniken gelang es den Cyberkriminellen, in den Suchergebnissen mehrerer Suchmaschinen Links zu Websites mit irreführenden Inhalten zu platzieren.
Diese SEO-Kampagnen, die eine Kombination aus Google Groups-Diskussionen und betrügerischen Webseiten sowie PDF-Dokumenten auf kompromittierten (in der Regel WordPress-) Websites nutzen, waren so effektiv, dass die SolarMarker-Köder in der Regel an der Spitze der entsprechenden Suchergebnisse standen. Diese Websites verleiteten die Benutzer zum Herunterladen eines Windows-Installationsprogramms (.msi) mit einem PowerShell-Skript, das die Malware installierte.
Das PowerShell-Skript änderte die Windows-Registrierung und legte eine .lnk-Datei im Windows-Startverzeichnis ab, um die Persistenz zu gewährleisten. Mithilfe der vom Installationsskript vorgenommenen Änderungen an der Windows-Registrierung wurde beim Laden der .lnk-Datei beim Windows-Start die Malware geladen.
Unter dem Radar der Verteidigung
Sean Gallagher, Senior Threat Researcher bei Sophos und einer der Verfasser des Berichts, sagt dazu: „Ransomware-Betreiber und andere Cyberkriminelle bevorzugen als Methoden zur Verbreitung von Malware hauptsächlich Phishing-E-Mails, die Ausnutzung des Remote Desktop Protocols oder Schwachstellen bei der Remotecodeausführung. Es gibt jedoch auch einige Kampagnen, die SEO als Verbreitungsmethode nutzen, darunter auch die untersuchten SolarMarker-Kampagnen, die derzeit eher wenig Aufmerksamkeit erhalten. Infolgedessen können diese SEO-Kampagnen unter dem Radar der Verteidiger durchschlüpfen, bis es zu spät ist und die Malware platziert ist.“
Unternehmen sollten daher zusätzlich zu einem wirksamen Security Ökosystem auch ihre Belegschaft über die Risiken im Netz aufklären und ihnen zeigen, wie sie potenziell bösartige Suchergebnisse erkennen können. Aufmerksame Mitarbeiter, welche die Warnzeichen von verdächtigen Internetseiten oder E-Mails kennen, sind eine hervorragende Verteidigungslinie. Unternehmen können hierfür formelle Online-Schulungen durchführen, Beispiele für die neuesten Bedrohungen teilen, Tests durchführen und ihren Beschäftigten einige Standardprüfungen zeigen.