Có vẻ như các nhà khai thác phần mềm độc hại nằm trong chiến dịch là SolarMarker (hay còn gọi là Jupyter, Polazert và Yellow Cockatoo) đang tìm thấy phương thức thành công mới với một thủ thuật cũ được gọi là "SEO Poisoning".

SEO Poisoning là gì?

SEO Poisoning là một cuộc tấn công phức tạp được các hacker mũ đen sử dụng và phần mềm máy chủ độc hại. Nó hoạt động và bắt đầu với các kết quả tìm kiếm của Google và kết thúc bằng việc có một vài người dùng bị nhiễm.

1. Cuộc tấn công bắt đầu với một hacker mũ đen, họ tạo ra một trang web và nhắm mục tiêu vào một từ khóa phổ biến, ví dụ như những ngày nghỉ lễ thường có các từ khóa liên quan đến kỳ nghỉ. Các hacker sẽ sử dụng nhiều kỹ thuật mũ đen trong đó có kỹ thuật liên kết kim tự tháp và mạng lưới blog cá nhân để xếp hạng trang web của bạn. Trang web này gần như hợp pháp mà người bình thường không thể biết, đó là mục tiêu của cuộc tấn công.

2. Người dùng bị thu hút vào các trang web có kết quả xếp hạng cao và click vào liên kết trên trang. Các kịch bản nhận biết người dùng có phải là một bot tìm kiếm hay một người tìm kiếm thực sự được định hướng.

3. Sau đó người dùng được chuyển hướng qua một vài lớp, thông thường đến các trang web bị xâm nhập khác. Những trang web này sẽ chọc vào lớp bảo mật Internet của người dùng, tìm kiếm lỗ hổng đề ném virus hoặc chương trình phần mềm độc hại. Mỗi bước đi, người dùng đang bị tấn công, trong khi đó nó lại trông giống như một trang đang tải.

4. Nếu một lỗ hổng được tìm thấy, người dùng bị nhiễm mã độc, nhiều virus hoặc các ứng dụng phần mềm độc hại có thể ăn cắp thông tin cá nhân, bắt làm con tin để đòi tiền chuộc khi họ ăn cắp được dữ liệu hay chỉ đơn giản là làm hỏng máy tính.

Tại sao điều này lại liên quan đến webmaster? Đôi khi các hacker không muốn dành thời gian để xếp hạng một trang web của riêng họ hoặc bởi họ thiếu thời gian và nguồn lực. Thay vì xếp hạng trang web của riêng mình, họ chọn bạn để lây nhiễm. Đây là một mối đe doạ ngày càng tăng và các hacker mũ đen đang phải đối mặt với một thời gian khó khăn hơn về thứ hạng trang web của mình. Ngược lại, nó sẽ dễ dàng hơn để thỏa hiệp với các trang web hiện có, đặc biệt là các trang web cỡ trung bình ít chú trọng về vấn đề bảo mật nhưng lại có thứ hạng cao.

Họ làm được điều này vì nhắm được thời cơ khi nhu cầu tìm kiếm các biểu mẫu kinh doanh như hóa đơn, mẫu tài liệu, bảng câu hỏi và biên lai của người dùng ngày càng phổ biến, vì thế mà đây chính là bước đệm giúp tin tặc xâm nhập vào hệ thống. Khi tải các biểu mẫu này, người dùng sẽ bị điều hướng đến một website độc hại có chứa mã độc mà không hề hay biết.

"Người dùng sử dụng hàng nghìn tài liệu PDF nhồi nhét từ khóa SEO và liên kết SEO chuyển hướng tới phần mềm độc hại. Cuộc tấn công hoạt động bằng cách sử dụng các tài liệu PDF được thiết kế có xếp hạng cao trong kết quả tìm kiếm. Để đạt được điều này, những kẻ tấn công đã độn hơn 10 trang từ khóa về nhiều chủ đề từ "mẫu đơn bảo hiểm", mẫu hóa đơn, hợp đồng", "CV", "cách để tham gia vào SQL" đến "câu trả lời toán học". Bộ phận Microsoft Security Intelligence giải thích trên Twitter trong những ngày gần đây.

Khi nạn nhân tìm thấy một trong các tệp PDF độc hại và mở chúng, họ sẽ được nhắc tải một tệp tài liệu PDF hoặc DOC khác có chứa thông tin mà họ tìm kiếm. Thay vì có được quyền truy cập vào thông tin, chúng được chuyển hướng qua nhiều trang web sử dụng TLD .site, .tk và .ga đến một trang web Google Drive clone có chứa phần mềm độc hại SolarMarker.

Khi truy cập vào, máy tính nạn nhân đã vô tình bị cài đặt Trojan truy cập từ xa (RAT).

Lúc này, các tác nhân đe dọa có thể gửi lệnh và tải thêm phần mềm độc hại lên hệ thống máy tính bị nhiễm một cách tự động, chẳng hạn như gửi mã độc tống tiền, đánh cắp thông tin cá nhân, trojan ngân hàng, hay chỉ đơn giản là sử dụng RAT như một  gián điệp ngầm trong hệ thống máy tính của nạn nhân.

Microsoft tiếp tục lưu ý rằng, những kẻ tấn công này trước đây đã sử dụng các trang web của Google để lưu trữ các tài liệu bị nhiễm này, tuy nhiên trong trong các chiến dịch gần đây, các nhà nghiên cứu của Microsoft đã nhận thấy những kẻ tấn công đã nhanh chóng chuyển sang nền tảng Amazon Web Services và Strikingly để bẫy người dùng.

Trước đây, thay vì nhắm vào các file PDF cài ngầm trên kết quả tìm kiếm các nền tảng, hình thức tấn công SEO Poisoning xuất hiện trực tiếp trên một trang web xếp hạng độc hại mà chính hacker tạo ra.

Ở đây, hacker tạo ra một trang web và seo web với một từ khóa phổ biến, ví dụ như những ngày nghỉ lễ thường có các từ khóa liên quan đến kỳ nghỉ. Các hacker sẽ sử dụng nhiều kỹ thuật liên kết tinh vi để xếp hạng các trang web khác nhau. Trang web tổng hợp này gần như hợp pháp mà người bình thường không thể biết, đó là mục tiêu của cuộc tấn công.

Lúc này, người dùng bị thu hút vào các trang web có kết quả xếp hạng cao và click vào liên kết trên trang để tham khảo, phần thì tò mò.

Sau đó người dùng được chuyển hướng qua một vài lớp, thông thường đến các trang web bị xâm nhập khác. Những trang web này sẽ chọc vào lớp bảo mật Internet của máy tính người dùng, tìm kiếm lỗ hổng để ném virus hoặc chương trình phần mềm độc hại vào đó. Một khi người dùng bị nhiễm mã độc, nhiều virus hoặc các ứng dụng phần mềm độc hại, chúng có thể ăn cắp thông tin cá nhân, bắt làm con tin để đòi tiền chuộc khi họ ăn cắp được dữ liệu, hay chỉ đơn giản là làm hỏng máy tính của bạn.