Un informe reciente señala que un grupo de piratas informáticos está empleando tácticas de optimización de motores de búsqueda (SEO) para engañar a los usuarios para que los atraigan a más de 100.000 sitios web maliciosos de apariencia legítima a través del navegador de Google.
El objetivo de esta campaña es instalar un troyano de acceso remoto (RAT) en dispositivos vulnerables, lo que permitiría el despliegue de ataques e infecciones posteriores. Los expertos en firmas de eSentire detectaron esta campaña y mencionaron que aparecen páginas web maliciosas en los resultados del navegador cuando el usuario busca términos relacionados con facturas, recibos, cuestionarios y currículum.
Los piratas informáticos utilizan la redirección de búsqueda y los métodos de descarga directa para redirigir a los usuarios a sitios de descarga de troyanos identificados como SolarMarket (también conocidos como Jupyter, Yellow Cockatoo o Polazert). Los usuarios que visitan un sitio web comprometido se infectan casi inmediatamente después de ingresar a estas páginas a través de un archivo PDF malicioso.
Para los expertos, esta es una campaña altamente sofisticada con un enorme alcance potencial: «Los piratas informáticos han podido explotar un punto ciego obvio en los controles de seguridad de la red, permitiendo a los usuarios ejecutar binarios o archivos de script que no son de confianza a voluntad».
En su informe, los investigadores detallaron un incidente reciente en el que un usuario de la industria financiera se convirtió en víctima de un ciberataque después de descargar un documento malicioso de un sitio web controlado por ciberdelincuentes. Para los expertos, los miembros de la industria de servicios financieros son el objetivo ideal de este tipo de campañas maliciosas, ya que tienen acceso a múltiples fuentes de información confidencial.
Sobre el troyano utilizado por los piratas informáticos, los investigadores señalan que una vez que se ha instalado en el dispositivo de la víctima, el RAT podría cargar malware adicional para el robo de credenciales de inicio de sesión y el secuestro de cuentas en línea: «Los piratas informáticos también podrían instalar ladrones de información de esta manera, recopilando correo electrónico credenciales para lanzar un esquema de interacción por correo electrónico empresarial ”, afirma el informe.
Para obtener más información sobre los riesgos de seguridad de la información, las variantes de malware, las vulnerabilidades y las tecnologías de la información, no dude en acceder a los sitios web del Instituto Internacional de Seguridad Cibernética (IICS).