Los investigadores de seguridad descubrieron recientemente una campaña maliciosa que utiliza el envenenamiento de SEO para engañar a las víctimas potenciales para que descarguen el malware BATLOADER.. Los atacantes utilizaron sitios maliciosos creados llenos de palabras clave de productos de software populares., y usó el envenenamiento de optimización de motores de búsqueda para que aparezcan más arriba en los resultados de búsqueda. Los investigadores de Mandiant también observaron una técnica de evasión inteligente que se basaba en mshta.exe, que es una utilidad nativa de Windows diseñada para ejecutar archivos de aplicaciones HTML de Microsoft (HTA).
Otro ejemplo reciente de malware que utiliza el envenenamiento de SEO para infectar a los usuarios distribuidos el conocido ladrón de información Mapache. Esta campaña vino con sitios maliciosos optimizados para motores de búsqueda que ocuparon un lugar destacado en los resultados de Google.. Los piratas informáticos también usaron estos trucos en un canal de YouTube con videos sobre mercancías., o software pirateado.
El envenenamiento de SEO genera el malware BATLOADER
En cuanto a la actual campaña de malware BATLOADER, los piratas informáticos utilizaron "instalación de aplicaciones de productividad gratuitas" o "instalación de herramientas de desarrollo de software gratuitas" como palabras clave de SEO para engañar a las víctimas para que visiten sitios web comprometidos y descarguen un instalador malicioso, que contiene software legítimo incluido con el malware. Cabe señalar que el malware BATLOADER se elimina y ejecuta durante el proceso de instalación del software..
Según el informe de Mandiant, “Este compromiso inicial de BATLOADER fue el comienzo de una cadena de infección de múltiples etapas que brinda a los atacantes un punto de apoyo dentro de la organización objetivo”. Los actores de amenazas también usaron herramientas legítimas como PowerShell, Msiexec.exe, y Mshta.exe para evitar la detección por parte de los proveedores de seguridad.
Uno de los elementos del ataque se asemeja el exploit CVE-2020-1599, un error grave en Google Chrome reportado el año pasado:
Una muestra notable encontrada en la cadena de ataque fue un archivo llamado, “AppResolver.dll”. Este ejemplo de DLL es un componente interno del sistema operativo Microsoft Windows desarrollado por Microsoft, pero con VBScript malicioso incrustado en el interior de manera que la firma del código sigue siendo válida. El ejemplo de DLL no ejecuta el VBScript cuando se ejecuta solo. Pero cuando se ejecuta con Mshta.exe, Mshta.exe localiza y ejecuta el VBScript sin problemas.
Este problema se parece más a CVE-2020-1599, La firma de PE Authenticode sigue siendo válida después de agregar secuencias de comandos compatibles con HTA firmadas por cualquier desarrollador de software. Estos PE+HTA políglota (.archivos hta) se puede explotar a través de Mshta.exe para eludir las soluciones de seguridad que se basan en la firma de código de Microsoft Windows para decidir si los archivos son de confianza. Este problema se corrigió como CVE-2020-1599.
Puede leer más sobre la cadena de infección versátil en el informe original.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: