Compartilhar
Os cibercriminosos estão recorrendo a técnicas de envenenamento de mecanismo de pesquisa para atrair profissionais de negócios a sites do Google aparentemente legítimos que instalam um cavalo de Troia de acesso remoto (RAT) capaz de realizar uma ampla gama de ataques.
O ataque funciona aproveitando pesquisas de formulários de negócios, como faturas, modelos, questionários e recibos, como um trampolim para se infiltrar nos sistemas. Os usuários que tentam baixar os supostos modelos de documentos são redirecionados , sem seu conhecimento, para um site malicioso que hospeda o malware.
"Uma vez que o RAT está no computador da vítima e ativado, os agentes da ameaça podem enviar comandos e carregar malware adicional para o sistema infectado, como ransomware, um ladrão de credenciais, um cavalo de Troia bancário ou simplesmente usar o RAT como um ponto de apoio na vítima rede ", disseram pesquisadores da eSentire em um artigo publicado na terça-feira.
A empresa de segurança cibernética disse ter descoberto mais de 100.000 páginas da web exclusivas que contêm termos de negócios populares ou palavras-chave, como modelo, fatura, recibo, questionário e currículo, permitindo assim que as páginas sejam classificadas em uma posição superior nos resultados da pesquisa e, portanto, aumentando a probabilidade de sucesso.
Uma vez que a vítima acessa o site controlado pelo invasor e baixa o documento que está sendo pesquisado, ele se torna um ponto de entrada para ameaças mais sofisticadas, resultando na instalação de um RAT baseado em .NET chamado SolarMarker (também conhecido como Yellow Cockatoo, Jupyter e Polazert).
Em um caso investigado pela eSentire, que envolveu um funcionário de uma empresa de gestão financeira, o executável do malware foi disfarçado como um documento PDF que, quando lançado, implantou o RAT junto com uma versão legítima do Slim PDF como isca.
"Outro aspecto preocupante desta campanha é que o grupo SolarMarker povoou muitas de suas páginas da web maliciosas com palavras-chave relacionadas a documentos financeiros", disse Spence Hutchinson, gerente de inteligência de ameaças da eSentire.
“Um grupo de cibercrime financeiro consideraria um funcionário que trabalha no departamento financeiro de uma empresa, ou um funcionário que trabalha para uma organização financeira, um alvo de alto valor. Infelizmente, uma vez que um RAT esteja confortavelmente instalado, as atividades de fraude em potencial são numerosas. "
Fonte: thehackernews.com