Хакеры охотятся на бизнесменов у водопоя

Хакеры охотятся на бизнесменов у водопоя

Злоумышленники заражают жертв вредоносом SolarMarker, используя для этого атаку типа “водопой”.

Исследователи из организации eSentire обнаружили несколько кибератак, за которыми стоит группировка SolarMarker, которая использовала одноименную вредоносную программу для атак на крупную консалтинговую компанию с офисами в США, Канаде, Великобритании и Европе. Для заражения жертв вредоносным ПО злоумышленники используют атаку типа “водопой”, с ее помощью распространяя поддельные обновления для браузеров Chrome, Edge и Firefox. По словам специалистов, это новая тактика группировки, так как раньше хакеры использовали отравление SEO.

SolarMarker – многоступенчатый инфостилер, который способен похищать данные автозаполнения, сохраненные пароли и информацию о кредитных картах из браузеров жертв. Согласно сообщению, опубликованному специалистами компании eSentire, хакеры использовали уязвимости на WordPress-сайте производителя медицинского оборудования. После этого на зараженный сайт зашла жертва и скачала SolarMarker, который выдавал себя за обновление для Chrome.

По словам специалистов, дизайн фейкового обновления зависит от браузера, который жертва использует при посещении зараженного сайта. Для Chrome это аддон, а для Edge и Firefox – PHP-страница.

Так как злоумышленники провели только одну атаку, используя в качестве вектора заражения “водопой”, неясно, тестирует ли группировка новую тактику или готовится к более масштабной кампании. Однако несмотря на это, eSentire рекомендует ИБ-специалистам бдительно следить за конечными точками, часто обновлять правила безопасности для обнаружения новых атак и наблюдать за ландшафтом угроз для общего укрепления безопасности организации.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!