恶意软件SolarMarker攻击者利用“搜索引擎投毒”（SEO Poisoning）技术窃取用户密码

2021年6月15日，据国际网络安全媒体ThreatPost报道，微软安全情报部门发表文章称，使用恶意软件SolarMarker（又称“Yellow Cockatoo”、“Jupyter”和“Polazert”）的攻击者正在利用“搜索引擎投毒”（SEO Poisoning）技术，使用Google Sites、亚马逊云服务（AWS）和Strikingly（免费网站建站工具）部署了数千个恶意PDF文档，诱使用户下载恶意软件以窃取用户密码和凭据。 微软指出，“搜索引擎投毒”技术并非新型攻击技术，但较难防御。此次攻击中，攻击者在数千个恶意PDF文档中填充了超过10页的关键词和链接，所涵盖的主题十分宽泛，以使得恶意PDF文档能够显示于搜索结果的顶部。用户点击文档中的恶意链接后，会被重定向至托管着恶意软件的链接。该链接诱使用户下载恶意软件（通常为具有远程控制功能SolarMarker），进一步从用户浏览器中窃取数据和凭据并发送至命令控制服务器，同时通过在启动文件夹中创建快捷方式和修改桌面快捷方式来建立持久性。 加拿大网络安全企业eSentire曾于2021年4月发布报告揭露恶意软件SolarMarker的传播活动，指出攻击者通过Google平台部署了10万余个含有“模板”、“发票”、“收据”、“问卷”和“简历”等关键搜索词的恶意页面，可分发恶意软件SolarMarker，进一步将勒索软件、信息窃取程序、银行木马等其他恶意软件植入受害主机系统中。