Pesquisadores de segurança descobriram recentemente uma campanha maliciosa usando envenenamento de SEO para induzir vítimas em potencial a baixar o malware BATLOADER. Os invasores usaram sites maliciosos criados com palavras-chave de produtos de software populares, e usou envenenamento de otimização de mecanismo de pesquisa para fazê-los aparecer mais nos resultados de pesquisa. Os pesquisadores da Mandiant também observaram uma técnica de evasão inteligente que se baseava no mshta.exe, que é um utilitário nativo do Windows projetado para executar arquivos de aplicativos HTML da Microsoft (HTA).
Outro exemplo recente de malware usando envenenamento de SEO para infectar usuários distribuídos o conhecido infostealer Raccoon. Esta campanha veio com sites maliciosos otimizados para mecanismos de pesquisa com classificação alta nos resultados do Google. Os hackers também usaram esses truques em um canal do YouTube com vídeo sobre mercadorias, ou software pirata.
SEO Poisoning entrega o malware BATLOADER
Quanto à atual campanha de malware BATLOADER, os hackers utilizaram “instalação gratuita de aplicativos de produtividade” ou “instalação gratuita de ferramentas de desenvolvimento de software” como palavras-chave de SEO para induzir as vítimas a visitar sites comprometidos e baixar um instalador malicioso, contendo software legítimo empacotado com o malware. Deve-se notar que o malware BATLOADER é descartado e executado durante o processo de instalação do software.
De acordo com o relatório da Mandiant, “esse comprometimento inicial do BATLOADER foi o início de uma cadeia de infecção em vários estágios que fornece aos invasores um ponto de apoio dentro da organização-alvo”. Os agentes de ameaças também usaram ferramentas legítimas, como o PowerShell, Msiexec.exe, e Mshta.exe para evitar a detecção por fornecedores de segurança.
Um dos elementos do ataque se assemelha a exploração CVE-2020-1599, um bug grave no Google Chrome relatado no ano passado:
Uma amostra notável encontrada na cadeia de ataque foi um arquivo chamado, “AppResolver.dll”. Este exemplo de DLL é um componente interno do sistema operacional Microsoft Windows desenvolvido pela Microsoft, mas com VBScript malicioso embutido de forma que a assinatura do código permaneça válida. O exemplo de DLL não executa o VBScript quando executado sozinho. Mas quando executado com Mshta.exe, Mshta.exe localiza e executa o VBScript sem problemas.
Este problema se assemelha mais ao CVE-2020-1599, A assinatura PE Authenticode permanece válida após anexar scripts compatíveis com HTA assinados por qualquer desenvolvedor de software. Estes poliglotas PE+HTA (.arquivos hta) pode ser explorado através do Mshta.exe para contornar soluções de segurança que dependem da assinatura de código do Microsoft Windows para decidir se os arquivos são confiáveis. Este problema foi corrigido como CVE-2020-1599.
Você pode ler mais sobre a versátil cadeia de infecção em o relatório original.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: