Los actores malintencionados están aprovechando las tácticas de optimización de motores de búsqueda (SEO) para engañar a los profesionales de negocios para que visiten sitios web controlados por piratas informáticos, alojados en Google Sites que ofrecen un troyano de acceso remoto (RAT).
Investigadores de la Unidad de Respuesta a Amenazas (TRU) de eSentire dijeron que descubrieron más de 100,000 páginas web maliciosas que contienen términos comerciales populares / palabras clave particulares, como plantilla, factura, recibo, cuestionario y currículum.
“Estos términos comerciales comunes sirven como palabras clave para la estrategia de optimización de búsqueda de los actores de amenazas, convenciendo al rastreador web de Google de que el contenido deseado cumple con las condiciones para una alta puntuación de PageRank”, explicaron los expertos.
Una vez que la víctima visita un sitio web controlado por un atacante, se le presentan botones de descarga para la plantilla de documento que estaban buscando, pero en realidad, estos botones conducen a un sitio web malicioso que muestra un ejecutable disfrazado de documento PDF o de MS Word. .
Una vez que el usuario abre el documento, el malware se instala en la computadora de la víctima. El malware en cuestión es SolarMarker RAT, también rastreado como Yellow Cockatoo, Jupyter y Polazert, que se usa para afianzarse en una red y luego infectar sistemas con ransomware, ladrones de credenciales, troyanos bancarios y otro malware. Detectado por primera vez en octubre de 2020, SolarMarker está escrito con el marco de software .NET.
Durante los últimos meses de 2020, los atacantes utilizaron los formatos de archivo docx2rtf.exe, photodesigner7_x86-64.exe, Expert_PDF.ex y docx2rtf.exe para la aplicación señuelo. Sin embargo, en los ataques más recientes, los actores de amenazas han cambiado a la aplicación Slim PDF reader, una aplicación legítima para leer archivos PDF, “ya sea en un esfuerzo por convencer a la víctima de la legitimidad del documento que estaban buscando o como una distracción de la instalación de la RAT ".
“Como con cualquier RAT, una vez que SolarMarker está activo, los actores de amenazas pueden enviar comandos y cargar archivos adicionales al sistema infectado. La TRU aún no ha observado acciones sobre objetivos después de una infección de SolarMarker, pero sospecha que existen varias posibilidades, incluido el ransomware, el robo de credenciales, el fraude o como punto de apoyo en las redes de víctimas para operaciones de espionaje o exfiltración ”, dijeron los investigadores.
https://www.esentire.com/security-advisories/hackers-flood-the-web-with-100-000-malicious-pages-promising-professionals-free-business-forms-but-are-delivering-malware-reports-esentire
