En los últimos días, se ha detectado una campaña de infección de malware sobre diferentes equipos en el mundo aprovechando la capacidad de inteligencia de los buscadores como Google para arrojar datos optimizados en el momento que el usuario pone una palabra clave en el buscador, los atacantes están creando páginas que contienen malware y posicionan sus sitios en los primeros resultados mediante el pago de publicidad y técnicas de visualizaciones para que el usuario ingrese a estos sitios y descargue algún ejecutable malicioso.
Esta capacidad denominada Search Engine Optimization (SEO) permite que los resultados más relevantes aparezcan en primer lugar y de esta manera el usuario pueda acceder a los diferentes sitios de manera rápida. Conocida como SEO Poisoning, los atacantes “envenenan” al motor para que sus sitios aparezcan en primer lugar al colocar palabras clave como teamviewer o anydesk, y que la víctima sin saberlo ingrese a un sitio diferente al original y descargue algún tipo de malware. En el caso recientemente detectado por investigadores de la empresa Mandiant, el software legitimo contiene el malware Batloader que posteriormente a su instalación descarga varios elementos como un agente del software Atera que permite tener control remoto de los equipos sin que el usuario final se dé cuenta.
Otra técnica usada por estos mismos ciberdelincuentes es descargar directamente el agente del software Atera mediante la supuesta instalación de programas gratis y que estaban asociados a las palabras clave de búsqueda “free legitimate software”, es importante mencionar que, aunque Atera es un software legítimo, los atacantes lo usan para ocultar sus actividades maliciosas. Luego de esto, el atacante enmascara el link de descarga real con una redirección a su página, donde se obtiene un paquete tanto del sistema requerido (en este caso Visual Studio) como el agente indicado. Finalmente, el programa realiza la descarga de otro programa de control remoto llamado Splashtop Streamer y adicionalmente modifica algunas llaves de registro para que se inicie cada vez que se reinicia el equipo, por otro lado, tiene la capacidad de deshabilitar el antimalware de Microsoft Windows Defender.
Recomendaciones:
Es importante que el usuario final sea consciente que el ciberespacio está lleno de tácticas que buscan aprovechar la necesidad y la inocencia del usuario que, al buscar programas gratis, pueden contener malware que afectan no solo los equipos personales si no los elemento de la compañía y ya que en varias ocasiones estas infecciones exfiltran datos tanto bancarios como corporativos. Por otro lado, bloquear los IOCs del presente boletín tanto en los sistemas de navegación como en los antimalware y/o IPS.
Indicadores de Compromiso (IOCs)
Casos de uso *:
- Eventos o Acciones realizadas a nivel Malware.
- Seguimiento de actividades de un posible Ataque de día Cero.
- Control de acceso por geolocalización.
- Servicios de anonimización.
- Trafico sospechoso desde IP destino peligrosas.
- Posible evento con Herramientas Exploit.
- Exfiltración de Datos.
*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados
Para más información puede consultar las siguientes fuentes asociadas a la noticia:
- https://www.mandiant.com/resources/seo-poisoning-batloader-atera#:~:text=SEO%20poisoning%20is%20an%20attack,up%20prominently%20in%20search%20results.
- http://www.articlediary.com/article/seo-poisoning-what-are-seo-poisoning-attacks-427.html
- https://www.bleepingcomputer.com/news/security/seo-poisoning-pushes-malware-laced-zoom-teamviewer-visual-studio-installers/
- https://www.atera.com/
- https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Virus%3ABAT%2FLoader
- https://www.splashtop.com/es/downloads
