Có vẻ như các nhà khai thác phần mềm độc hại nằm trong chiến dịch là SolarMarker (hay còn gọi là Jupyter, Polazert và Yellow Cockatoo) đang tìm thấy phương thức thành công mới với một thủ thuật cũ được gọi là "SEO Poisoning".
Họ làm được điều này vì nhắm được thời cơ khi nhu cầu tìm kiếm các biểu mẫu kinh doanh như hóa đơn, mẫu tài liệu, bảng câu hỏi và biên lai của người dùng ngày càng phổ biến, vì thế mà đây chính là bước đệm giúp tin tặc xâm nhập vào hệ thống. Khi tải các biểu mẫu này, người dùng sẽ bị điều hướng đến một website độc hại có chứa mã độc mà không hề hay biết.
"Người dùng sử dụng hàng nghìn tài liệu PDF nhồi nhét từ khóa và liên kết SEO chuyển hướng tới phần mềm độc hại. Cuộc tấn công hoạt động bằng cách sử dụng các tài liệu PDF được thiết kế có xếp hạng cao trong kết quả tìm kiếm. Để đạt được điều này, những kẻ tấn công đã độn hơn 10 trang từ khóa về nhiều chủ đề từ "mẫu đơn bảo hiểm", mẫu hóa đơn, hợp đồng", "CV", "cách để tham gia vào SQL" đến "câu trả lời toán học". Bộ phận Microsoft Security Intelligence giải thích trên Twitter trong những ngày gần đây.
Khi nạn nhân tìm thấy một trong các tệp PDF độc hại và mở chúng, họ sẽ được nhắc tải một tệp tài liệu PDF hoặc DOC khác có chứa thông tin mà họ tìm kiếm. Thay vì có được quyền truy cập vào thông tin, chúng được chuyển hướng qua nhiều trang web sử dụng TLD .site, .tk và .ga đến một trang web Google Drive clone có chứa phần mềm độc hại SolarMarker.
Khi truy cập vào, máy tính nạn nhân đã vô tình bị cài đặt Trojan truy cập từ xa (RAT).
Lúc này, các tác nhân đe dọa có thể gửi lệnh và tải thêm phần mềm độc hại lên hệ thống máy tính bị nhiễm một cách tự động, chẳng hạn như gửi mã độc tống tiền, đánh cắp thông tin cá nhân, trojan ngân hàng, hay chỉ đơn giản là sử dụng RAT như một gián điệp ngầm trong hệ thống máy tính của nạn nhân.
Microsoft tiếp tục lưu ý rằng, những kẻ tấn công này trước đây đã sử dụng các trang web của Google để lưu trữ các tài liệu bị nhiễm này, tuy nhiên trong trong các chiến dịch gần đây, các nhà nghiên cứu của Microsoft đã nhận thấy những kẻ tấn công đã nhanh chóng chuyển sang nền tảng Amazon Web Services và Strikingly để bẫy người dùng.
Trước đây, thay vì nhắm vào các file PDF cài ngầm trên kết quả tìm kiếm các nền tảng, hình thức tấn công SEO Poisoning xuất hiện trực tiếp trên một trang web xếp hạng độc hại mà chính hacker tạo ra.
Ở đây, hacker tạo ra một trang web và nhắm mục tiêu vào một từ khóa phổ biến, ví dụ như những ngày nghỉ lễ thường có các từ khóa liên quan đến kỳ nghỉ. Các hacker sẽ sử dụng nhiều kỹ thuật liên kết tinh vi để xếp hạng các trang web khác nhau. Trang web tổng hợp này gần như hợp pháp mà người bình thường không thể biết, đó là mục tiêu của cuộc tấn công.
Lúc này, người dùng bị thu hút vào các trang web có kết quả xếp hạng cao và click vào liên kết trên trang để tham khảo, phần thì tò mò.
Sau đó người dùng được chuyển hướng qua một vài lớp, thông thường đến các trang web bị xâm nhập khác. Những trang web này sẽ chọc vào lớp bảo mật Internet của máy tính người dùng, tìm kiếm lỗ hổng để ném virus hoặc chương trình phần mềm độc hại vào đó. Một khi người dùng bị nhiễm mã độc, nhiều virus hoặc các ứng dụng phần mềm độc hại, chúng có thể ăn cắp thông tin cá nhân, bắt làm con tin để đòi tiền chuộc khi họ ăn cắp được dữ liệu, hay chỉ đơn giản là làm hỏng máy tính của bạn.