Malware de robo de datos y contraseñas se propaga siendo popular en las búsquedas de Google

Los atacantes detrás del malware conocido como SolarMarker están utilizando documentos PDF llenos de palabras clave de optimización de motores de búsqueda (SEO) para aumentar su visibilidad en los motores de búsqueda con el fin de llevar a las víctimas potenciales al malware en un sitio malicioso que se hace pasar por Google Drive.

Según Microsoft, SolarMarker es un malware de puerta trasera que roba datos y credenciales de los navegadores. El envenenamiento de SEO es una técnica de la vieja escuela que utiliza motores de búsqueda para difundir malware. En este caso, los atacantes están utilizando miles de archivos PDF llenos de palabras clave y enlaces que redirigen a los incautos a través de varios sitios hacia uno que instala el malware.

Dijo Microsoft Security Intelligence en un tweet: «El ataque funciona mediante el uso de documentos PDF diseñados para clasificar en los resultados de búsqueda. Para lograrlo, los atacantes rellenaron estos documentos con más de 10 páginas de palabras clave sobre una amplia gama de temas, desde» formulario de seguro «y» aceptación del contrato «hasta» cómo para unirse en SQL «y» respuestas matemáticas». Crowdstrike lanzó una alarma sobre SolarMarker en febrero por usar las mismas tácticas de envenenamiento de SEO. El malware se dirigió principalmente a usuarios de América del Norte. Los atacantes alojaban páginas en Google Sites como señuelos para las descargas maliciosas. Los sitios promovían la descarga de documentos y, a menudo, ocupaban un lugar destacado en los resultados de búsqueda, de nuevo para mejorar la clasificación de búsqueda. Los investigadores de Microsoft descubrieron que los atacantes han comenzado a utilizar Amazon Web Services (AWS) y el servicio de Strikingly, así como Google Sites. «Cuando se abren, los PDF solicitan a los usuarios que descarguen un archivo .doc o una versión .pdf de la información deseada. Los usuarios que hacen clic en los enlaces son redirigidos a través de 5 a 7 sitios con TLD como .site, .tk y .ga». Microsoft dijo: «Después de varias redirecciones, los usuarios llegan a un sitio controlado por un atacante, que imita a Google Drive, y se les pide que descarguen el archivo». Esto generalmente conduce al malware SolarMarker / Jupyter, pero Microsoft también ha visto la descarga de archivos aleatorios como parte de un método aparente para esquivar la detección, agregó.

Fuentes: zdnet

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *