Tenga cuidado con lo que hace clic: el malware de robo de contraseñas y datos se propaga de formas inusuales
2 min readEl malware, conocido como SolarMarker, utiliza documentos PDF llenos de palabras clave para la optimización del navegador (SEO).
Fuente: B92, PC Press, Zdnet
Foto: Profimedia / Soeren Stache / dpa-Zentralbild / ZB
Los atacantes detrás de estos ataques mejoran así su visibilidad en los navegadores, con el fin de llevar a las víctimas potenciales a malware en un sitio malicioso disfrazado de Google Drive. Según Microsoft, SolarMarker es un malware de puerta trasera que roba datos y credenciales de los navegadores. El envenenamiento de SEO es una técnica anticuada que utiliza navegadores para propagar malware. En este caso, los atacantes utilizan miles de archivos PDF llenos de palabras clave y enlaces, que redirigen a un usuario descuidado de varias ubicaciones al que instala el malware.
El ataque funciona mediante el uso de documentos PDF diseñados para clasificar en los resultados de búsqueda. Para lograr esto, los atacantes llenaron esos documentos con más de 10 páginas de palabras clave sobre una amplia gama de temas, desde “formulario de seguro” y “aceptación de contrato” hasta respuestas matemáticas, dijo Microsoft Security Intelligence en un tweet. El malware se dirige principalmente a los usuarios de América del Norte. Los atacantes alojaban páginas en Google Sites como cebo para descargas maliciosas. Los sitios promueven la descarga de documentos y, a menudo, se clasifican bien en los resultados de búsqueda.
Los investigadores de Microsoft descubrieron que los atacantes habían comenzado a utilizar Amazon Web Services (AWS) y Strikingly, así como Google Sites. Cuando se abren, los archivos PDF animan a los usuarios a descargar un archivo .doc o una versión .pdf de la información que desean. Los usuarios que hacen clic en el enlace son llevados a 5-7 sitios con TLD, como .site, .tk y .ga, dijo Microsoft. Después de múltiples redireccionamientos, los usuarios llegan a una ubicación controlada por un atacante que imita un Google Drive y se les solicita que descarguen un archivo. Esto generalmente conduce al malware SolarMarker / Jupiter, que exfolia los datos robados al servidor de comando y control y continúa creando accesos directos en el directorio de inicio, así como modificando accesos directos en el escritorio. Los datos de Microsoft 365 Defender muestran que la técnica de envenenamiento de SEO es efectiva, dado que Microsoft Defender Antivirus ha detectado y bloqueado miles de estos documentos PDF en varios entornos, dijo Microsoft.
Síguenos en el nuestro Facebook I Instagram página, Gorjeo Cuenta y únete al nuestro Viber comunidad.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.