Las tácticas de optimización de motores de búsqueda (SEO) dirigen a los usuarios que buscan formularios comerciales comunes, como facturas, recibos u otras plantillas, a dominios alojados en Google controlados por piratas informáticos.
Hackers are using search engine optimization (SEO) tactics to lure business users to over 100,000 malicious Google sites that appear legitimate, but instead install a remote access trojan (RAT), which is used to establish itself on a network and then infect systems with ransomware, credential thieves, banking Trojans, and other malware.
La Unidad de Respuesta a Amenazas (TRU) de eSentire descubrió legiones de páginas web únicas y maliciosas que contienen términos comerciales populares / palabras clave particulares, incluidas palabras clave relacionadas con formularios comerciales como plantilla, factura, recibo, cuestionario y currículum, observaron los investigadores, en un informe publicado el miércoles.
Attackers use Google search redirection and “drive-by-download” tactics to direct unsuspecting victims to the RAT, tracked by eSentire as SolarMarker (aka Jupyter, Yellow Cockatoo, and Polazert). Typically, a person visiting the infected site simply runs a binary file disguised as PDF by clicking on a so-called “form”, thus infecting their machine.
"Esta es una tendencia cada vez más común con la entrega de malware, que habla de la seguridad mejorada de aplicaciones como los navegadores que manejan código vulnerable", escribieron los investigadores. "Desafortunadamente, revela un punto ciego evidente en los controles, lo que permite a los usuarios ejecutar binarios o archivos de script que no son de confianza".
De hecho, la campaña no solo es de gran alcance, sino también sofisticada.
Los términos comerciales comunes sirven como palabras clave para la estrategia de optimización de búsqueda de los actores de amenazas, convenciendo acertadamente al rastreador web de Google de que el contenido deseado cumple las condiciones para una puntuación alta en el rango de la página, lo que significa que los sitios maliciosos aparecerán en la parte superior de las búsquedas de los usuarios. según el informe. Esto aumenta la probabilidad de que las víctimas sean atraídas a sitios infectados.
"Los líderes de seguridad y sus equipos deben saber que el grupo de amenazas detrás de SolarMarker ha realizado un gran esfuerzo para comprometer a los profesionales de negocios, extendiendo una red amplia y utilizando muchas tácticas para disfrazar con éxito sus trampas", dijo Spence Hutchinson, gerente de inteligencia de amenazas. para eSentire.
Author: Elizabeth Montalbano.
Consult at: https://threatpost.com/google-sites-solarmarket-rat/165396/
