Un reporte de seguridad de Microsoft señala que la compañía ha establecido un equipo para el monitoreo de una ola de ataques de envenenamiento SEO desplegada con el fin de infectar los sistemas comprometidos con un troyano de acceso remoto (RAT) capaz de robar información confidencial. La compañía asegura que esta campaña es altamente efectiva y que Microsoft Defender Antivirus ya ha detectado miles de documentos PDF maliciosos entregados.
Cuando un usuario abre alguno de los archivos PDF infectados, se les solicita descargar también un archivo .doc o .pdf como complemento al archivo inicial. Si el usuario cae en esta trampa, será redirigido a diversos sitios con Top-Level Domain (TLD) como .site, .tk o .ga. Estos sitios son copias de páginas web de Google Drive donde los actores de amenazas alojan el malware SolarMaker.
Este es un troyano .NET sin archivos que también ha sido identificado como Jupyter, Polazert o Yellow Cockatoo. SolarMaker también es empleado como medio para entregar otras cargas útiles en los dispositivos infectados. Una vez cumplido el proceso de infección, se implementan capacidades de backdoor y se permite a los operadores extraer información almacenada en navegadores web y se genera persistencia.
Un reporte publicado hace un par de meses señala la detección de casi 100 mil sitios web empleados por los operadores de esta campaña maliciosa. Empleando términos comunes en las búsquedas web rutinarias (plantilla, facturas, recibos, cuestionarios, currículum, entre otros), los cibercriminales trataban de engañar al algoritmo de Google y atraer al mayor número posible de usuarios desprevenidos.
En su reporte, Microsoft asegura que: “los operadores del malware conocido como SolarMarker buscan desplegar miles de documentos PDF rellenos con palabras clave y enlaces de SEO que inician una cadena de redirecciones que eventualmente conducen a la carga maliciosa.” Después de este proceso de redirecciones, los usuarios llegan a un sitio web similar al de Google Drive pero controlado por un atacante, desde el cual se les pide descargar el archivo malicioso.
Por seguridad, Microsoft recomienda a los usuarios de Internet que mantengan habilitados todos los mecanismos de seguridad en sus dispositivos, además de verificar la autenticidad o reputación de cualquier sitio web sospechoso.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
