Nueva campaña de envenenamiento de SEO que distribuye versiones troyanizadas de software popular.

Se ha observado una campaña de ataque de envenenamiento de optimización de motores de búsqueda (SEO) en curso que abusa de la confianza en las utilidades de software legítimas para engañar a los usuarios para que descarguen malware BATLOADER en máquinas comprometidas.

“El actor de la amenaza utilizó temas de ‘instalación gratuita de aplicaciones de productividad’ o ‘instalación de herramientas de desarrollo de software libre’ como palabras clave de SEO para atraer a las víctimas a un sitio web comprometido y descargar un instalador malicioso”, dijeron los investigadores de Mandiant en un informe publicado esta semana.

En los ataques de envenenamiento SEO, los adversarios aumentan artificialmente la clasificación de los sitios web (genuinos o no) que alojan su malware para que aparezcan en la parte superior de los resultados de búsqueda para que los usuarios que buscan aplicaciones específicas como TeamViewer, Visual Studio y Zoom estén infectados con malware.

El instalador, mientras empaqueta el software legítimo, también se incluye con la carga útil BATLOADER que se ejecuta durante el proceso de instalación. El malware luego actúa como un trampolín para obtener más información sobre la organización objetivo mediante la descarga de ejecutables de la siguiente etapa que propagan la cadena de infección de múltiples etapas.

Uno de esos ejecutables es una versión manipulada de un componente interno de Microsoft Windows que se anexa con un VBScript malicioso. Posteriormente, el ataque aprovecha una técnica llamada ejecución de proxy binario firmado para ejecutar el archivo DLL utilizando la utilidad legítima “Mshta.exe”.

Esto da como resultado la ejecución del código VBScript, desencadenando efectivamente la siguiente fase del ataque en la que se entregan cargas útiles adicionales como Atera Agent, Cobalt Strike Beacon  y Ursnif en las etapas posteriores para ayudar a realizar el reconocimiento remoto, la escalada de privilegios y la recolección de credenciales.

Además, en una señal de que los operadores experimentaron con diferentes estratagemas, una variante alternativa de la misma campaña entregó el software de gestión de monitoreo remoto Atera directamente como consecuencia del compromiso inicial para futuras actividades posteriores a la explotación.

Mandiant también denunció las superposiciones de los ataques con las técnicas adoptadas por la banda de ransomware Conti, que se publicaron en agosto de 2021. “En este momento, debido a la divulgación pública de esta información, otros actores no afiliados pueden estar replicando las técnicas para sus propios motivos y objetivos”, dijeron los investigadores. 

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies