Home » News » Cybersecurity » SolarMarker nutzt SEO: Im Suchmaschinen-Blindflug die Verteidigung umgehen

SolarMarker nutzt SEO: Im Suchmaschinen-Blindflug die Verteidigung umgehen

2 Min. Lesezeit
© AdobeStock/James Thew

Ist es die berühmte Ruhe vor dem Sturm? Auch wenn es um SolarMarker und dessen Verbreitung über SEO-Mechanismen ruhig geworden ist, besteht die Gefahr, dass bereits verteilte und platzierte Malware aktiviert wird.

Obwohl derzeit keine aktiven SolarMarker-Verbreitungskampagnen bekannt sind, da die letzte von den Cyberkriminellen genutzte Download-Seite geschlossen wurde, sind die bereits platzierten SolarMarker-Installationen nach wie vor aktiv. Es könnte demnach nur eine Frage der Zeit sein, bis eine neue Kampagne mit einer neuen Infrastruktur gestartet wird. Davor warnen die SophosLabs in ihrem neuen Bericht namens „SolarMarker Campaign Uses Novel Registry Changes to Establish Persistence“ über den SolarMarker-Malware-Installer. Der Bericht bietet einen umfassenden Überblick über Angriffskampagnen mit der Schadsoftware aus dem Jahr 2021 mit einer wenig beruhigenden Schlussfolgerung:

Die .NET-Malware wurde erstmals 2020 entdeckt. Sie wird in der Regel über ein PowerShell-Installationsprogramm verbreitet, verfügt über Funktionen zum Sammeln von Informationen und eine Backdoor. Im Oktober 2021 beobachtete Sophos Labs eine Reihe aktiver SolarMarker-Kampagnen, die einem gemeinsamen Muster folgten: Mithilfe von SEO-Techniken gelang es den Cyberkriminellen, in den Suchergebnissen mehrerer Suchmaschinen Links zu Websites mit irreführenden Inhalten zu platzieren.

Diese SEO-Kampagnen, die eine Kombination aus Google Groups-Diskussionen und betrügerischen Webseiten sowie PDF-Dokumenten auf kompromittierten (in der Regel WordPress-) Websites nutzen, waren so effektiv, dass die SolarMarker-Köder in der Regel an der Spitze der entsprechenden Suchergebnisse standen. Diese Websites verleiteten die Benutzer zum Herunterladen eines Windows-Installationsprogramms (.msi) mit einem PowerShell-Skript, das die Malware installierte.

Das PowerShell-Skript änderte die Windows-Registrierung und legte eine .lnk-Datei im Windows-Startverzeichnis ab, um die Persistenz zu gewährleisten. Mithilfe der vom Installationsskript vorgenommenen Änderungen an der Windows-Registrierung wurde beim Laden der .lnk-Datei beim Windows-Start die Malware geladen.

Unter dem Radar der Verteidigung

Sean Gallagher, Senior Threat Researcher bei Sophos und einer der Verfasser des Berichts, sagt dazu: „Ransomware-Betreiber und andere Cyberkriminelle bevorzugen als Methoden zur Verbreitung von Malware hauptsächlich Phishing-E-Mails, die Ausnutzung des Remote Desktop Protocols oder Schwachstellen bei der Remotecodeausführung. Es gibt jedoch auch einige Kampagnen, die SEO als Verbreitungsmethode nutzen, darunter auch die untersuchten SolarMarker-Kampagnen, die derzeit eher wenig Aufmerksamkeit erhalten. Infolgedessen können diese SEO-Kampagnen unter dem Radar der Verteidiger durchschlüpfen, bis es zu spät ist und die Malware platziert ist.“

Unternehmen sollten daher zusätzlich zu einem wirksamen Security Ökosystem auch ihre Belegschaft über die Risiken im Netz aufklären und ihnen zeigen, wie sie potenziell bösartige Suchergebnisse erkennen können. Aufmerksame Mitarbeiter, welche die Warnzeichen von verdächtigen Internetseiten oder E-Mails kennen, sind eine hervorragende Verteidigungslinie. Unternehmen können hierfür formelle Online-Schulungen durchführen, Beispiele für die neuesten Bedrohungen teilen, Tests durchführen und ihren Beschäftigten einige Standardprüfungen zeigen.

 

 

Andere interessante News

BSI aktualisiert Handbuch „Management von Cyber-Risiken“

Cyber-Sicherheit für das Management: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Handbuch „Management von Cyber-Risiken" umfassend aktualisiert. Cyber-Angriffe auf Unternehmen sind an der Tagesordnung, die Bedrohungslage ist so hoch wie nie zuvor. Unternehmensleitungen müssen sich dessen bewusst sein und Cyber-Sicherheit zu einem festen Bestandteil des Risikomanagements machen.

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

Treuhänder im Darknet pfeifen auf Ehrenkodex

Im Darknet agierende Cyberkriminelle hegen Besorgnis hinsichtlich ihrer eigenen Sicherheit und möchten keinesfalls zum Opfer ihrer "Kollegen" werden. Deshalb greifen sie bei Geschäftsabschlüssen wie dem Erwerb von Datenbanken, Konten oder Unternehmenszugängen auf die Dienste von Vermittlern zurück, um sich abzusichern. „Bedauerlicherweise“ für die Kriminellen stellt sich jedoch heraus, dass selbst diese Treuhänder keine Garantie gegen Betrug bieten.