악성 PDF 파일을 배포하는 웹 페이지 10만 곳 이상 생성돼
출처 : https://blog.alyac.co.kr/3703
해커들이 정식 구글 사이트로 위장하고 사용자들에게 RAT을 설치하는 페이지로 유인하기 위해 검색 엔진을 오염시키고 있는 것으로 나타났습니다. 이 공격은 인보이스, 템플릿, 설문지, 영수증 등 기업용 문서 양식에 대한 검색 결과를 악용하며 악성 문서 템플릿을 다운로드하는 사용자는 자신도 모르는 사이 악성코드를 호스팅하는 악성 웹사이트로 이동됩니다.
SolarMarker로 알려진 .NET 기반 RAT이 피해자의 컴퓨터에 설치 및 활성화되면, 공격자들은 감염된 시스템에 명령을 전송하고 랜섬웨어, 크리덴셜 스틸러, 뱅킹 트로이목마, RAT 등 추가 악성코드를 업로드할 수 있습니다.
한 사례에서는 악성코드 실행 파일은 PDF 문서로 위장하고 있었으며, 실행될 경우 RAT과 함께 미끼로 Slim PDF의 정식 버전을 배포했습니다. 전문가들은 SolarMarker를 사용하는 공격자들이 악성 웹 페이지에 재무 문서와 관련된 키워드를 많이 사용했으며 회사의 재무 부서 직원이나 금융 기관 직원을 주요 타깃으로 간주할 것이라고 밝혔습니다.