Microsoft Security Intelligence-ի թիմը նախազգուշացրել է, որ SolarMarker վնասաբեր ծրագրային ապահովման մշակողները SEO poisoning հին տեխնիկան օգտագործում են նոր նպատակների համար: Սկզբում չարամիտները որպես հոսթինգ օգտագործել են Google Sites-ը, հետագայում անցել են Amazon Web Services (AWS) եւ Strikeingly հարթակներ, հաղորդում է 3DNews-ը:

Դեռեւս ապրիլին հայտնաբերվել էին հազարավոր հազվագյուտ էջեր, որոնք պարունակում էին հանրահայտ տերմիններ/հարցումներ, ինչպես օրինակ՝ «ձեւանմուշ», «հաշիվ-ապրանքագիր», «բաղադրատոմս», «հարցաշար» եւ «ռեզյումե»։ Հանցագործները օգտագործել են SEO-ի առաջխաղացման մարտավարությունը՝ բիզնեսի օգտվողներին Google-ի ավելի քան 100 000 կայքեր տեղափոխելու համար: Կայքերից օգտվողների համակարգիչների վրա հեռավար մուտքի համար տեղադրվել է «տրոյանը», այնուհետեւ դրա միջոցով վարակել են կորպորացիաների տեղեկատվական համակարգերը, տեղադրվել են բանկային «տրոյաններ» եւ այլ վնասակար ծրագրեր:

Ընթացիկ սխեման գործում է նույն կերպ: PDF փաստաթղթերը ստեղծվում են այնպես, որ դրանք հայտնվում են որոնման արդյունքների ամենավերեւում: Կիբեռհանցագործները ֆայլերը լցրել են ամեն տեսակի որոնման հարցերով՝ ավելի քան 10 000 բառակապակցություններով՝ «ապահովագրության ձեւ»-ից եւ «պայմանագրի պայմաններին համաձայնություն»-ից մինչեւ «մաթեմատիկական խնդիրների պատասխաններ»:

Որոնման մեջ հայտնաբերված էջերը կամ PDF ֆայլերը օգտվողներին հուշում են անցնել հղումով՝ իբր անհրաժեշտ փաստաթղթի ներբեռնման համար՝ նույնպես PDF կամ DOC ձեւաչափով: Սեղմելուց հետո օգտվողը վերաուղղվում է հինգ-յոթ կայքերով՝ այնպիսի դոմեններով, ինչպիսիք են .site, .tk եւ .ga, այն ռեսուրսին, որը նման է Google Drive էջին, որտեղ էլ ներբեռնում են վնասաբեր ծրագիը, սովորաբար՝ SolarMarker-ը, որն էլ կատարում է մնացած «կեղտոտ աշխատանքը»:

Microsoft Defender հակավիրուսի մշակողները պնդում են, որ իրենց ծրագրակազմը արգելափակել է հազարավոր նման PDF-ներ: Նրանց համար, ովքեր չեն օգտագործում Microsoft Defender Antivirus-ը կամ Microsoft Defender for Endpoint-ը, մշակողները խորհուրդ են տալիս ներբեռնել հակավիրուսային ծրագիր, որն օգտագործում են համապատասխան սպառնալիքները հայտնաբերելու համար: