Hati-hati! Malware SolarMaker Berkedok File PDF
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Microsoft Security Intelligence mendeteksi perangkat lunak jahat (malware) yang berkedok dokumen PDF. Malware ini dijuluki “SolarMarker”.
File jahat itu diisi dengan kata kunci optimisasi mesin pencari (SEO) untuk meningkatkan visibilitas mereka di mesin pencari untuk mengarahkan calon korban ke situs web berbahaya yang menyamabar sebagai Google Drive.
“SolarMarker adalah perangkat lunak jahat backdoor yang mencuri data dan kredensial dari browser,” tulis Microsoft, dikutip dari ZDNet, diakses Selasa (15 Juni 20210.
“SEO poisoning” atau meracuni SEO sebetulnya teknik lawas yang menggunakan mesin pencari untuk menyebarkan malware. Dalam kasus temuan ini, penyerang menggunakan ribuan file PDF yang diisi dengan kata kunci dan tautan yang mengarahkan orang yang tidak awas ke beberapa situs web yang dipasang malware.
"Serangan itu bekerja dengan menggunakan dokumen PDF yang dirancang untuk menentukan peringkat pada hasil pencarian. Penyerang mengisi dokumen-dokumen ini dengan lebih dari 10 halaman kata kunci di berbagai topik, dari ‘insurance form’, ‘acceptance of contract’, ‘hot to join in SQL’, dan ‘math answers’,” tulis Microsoft.
Sebelumnya, perusahaan keamanan siber, Crowdstrike, juga telah memperingatkan tentang SolarMarker pada Februari lalu. Taktik yang dipakai juga sama “meracuni SEO”. Malware ini sebagian besar menargetkan pengguna di Amerika Utara.
Dalam temuan Microsoft, peretas meng-hosting halaman di Google Sites sebagai umpan untuk unduhan file berbahaya. Situs-situs web tersebut mempromosikan unduhan dokumen dan sering kali berperingkat tinggi dalam hasil pencarian.
Microsoft menemukan penyerang telah mulai menggunakan Amazon Web Services (AWS) dan layanan Strikingly serta Google Sites.
"Saat dibuka, PDF meminta pengguna untuk mengunduh file .doc atau versi .pdf dari info yang mereka inginkan. Pengguna yang mengklik tautan akan diarahkan melalui 5 hingga 7 situs dengan TLD seperti .site, .tk, dan .ga," kata Microsoft.
Penyerang lalu mencoba mengalihkan pengguna ke situs web yang dikendalikan yang meniru Google Drive dan diminta untuk mengunduh file. Ini biasanya mengarah ke malware SolarMarker/Jupyter.[]
