Los ciberdelincuentes están recurriendo a técnicas de envenenamiento de motores de búsqueda para atraer a los profesionales de negocios a visitar sitios aparentemente legítimos de Google que instalan un troyano de acceso remoto (RAT) capaz de llevar a cabo una amplia gama de ataques.
El ataque funciona aprovechando las búsquedas de formularios comerciales, como facturas, plantillas, cuestionarios y recibos, como un trampolín para infiltrarse en los sistemas. Los usuarios que intentan descargar las supuestas plantillas de documentos son redirigidos, sin su conocimiento, a un sitio web malicioso que aloja el malware.
«Una vez que la RAT está en la computadora de la víctima y se activa, los actores de amenazas pueden enviar comandos y cargar malware adicional al sistema infectado, como ransomware, un ladrón de credenciales, un troyano bancario o simplemente usar la RAT como un punto de apoyo en la víctima. red «, dijeron investigadores de eSentire en un artículo publicado el martes.
La firma de seguridad cibernética dijo que descubrió más de 100,000 páginas web únicas que contienen términos comerciales populares o palabras clave como plantilla, factura, recibo, cuestionario y currículum, lo que permite que las páginas se clasifiquen más alto en los resultados de búsqueda y, por lo tanto, aumenta la probabilidad. del éxito.
Una vez que una víctima aterriza en el sitio web controlado por el atacante y descarga el documento que busca, se convierte en un punto de entrada para amenazas más sofisticadas, lo que finalmente resulta en la instalación de un RAT basado en .NET llamado SolarMarker (también conocido como Yellow Cockatoo, Jupyter y Polazert).
En un caso investigado por eSentire, que involucró a un empleado de una empresa de administración financiera, el ejecutable del malware se disfrazó como un documento PDF que, cuando se lanzó, implementó la RAT junto con una versión legítima de Slim PDF como señuelo.
«Otro aspecto preocupante de esta campaña es que el grupo SolarMarker ha poblado muchas de sus páginas web maliciosas con palabras clave relacionadas con documentos financieros», dijo Spence Hutchinson, gerente de inteligencia de amenazas de eSentire.
«Un grupo de delitos cibernéticos financieros consideraría a un empleado que trabaja en el departamento de finanzas de una empresa, o un empleado que trabaja para una organización financiera, un objetivo de alto valor. Desafortunadamente, una vez que se instala cómodamente una RAT, las posibles actividades de fraude son numerosas. «
