{"id":5556,"date":"2022-02-15T16:03:40","date_gmt":"2022-02-15T21:03:40","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5556"},"modified":"2022-02-15T16:03:40","modified_gmt":"2022-02-15T21:03:40","slug":"descubierta-campana-de-infeccion-de-malware-mediante-la-tecnica-seo-poisoning","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/descubierta-campana-de-infeccion-de-malware-mediante-la-tecnica-seo-poisoning\/","title":{"rendered":"Descubierta campa\u00f1a de infecci\u00f3n de malware mediante la t\u00e9cnica SEO Poisoning."},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5556\" class=\"elementor elementor-5556\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-055bd16 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"055bd16\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-69b339e\" data-id=\"69b339e\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-87d39bd elementor-widget elementor-widget-text-editor\" data-id=\"87d39bd\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>En los \u00faltimos d\u00edas, se ha detectado una campa\u00f1a de infecci\u00f3n de malware sobre diferentes equipos en el mundo aprovechando la capacidad de inteligencia de los buscadores como Google para arrojar datos optimizados en el momento que el usuario pone una palabra clave en el buscador, los atacantes est\u00e1n creando p\u00e1ginas que contienen malware y posicionan sus sitios en los primeros resultados mediante el pago de publicidad y t\u00e9cnicas de visualizaciones para que el usuario ingrese a estos sitios y descargue alg\u00fan ejecutable malicioso.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-1cbcc9e elementor-widget elementor-widget-image\" data-id=\"1cbcc9e\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Descubierta-1.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Ejemplo SEO Poisoning (Article Diary)<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-319fd21 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"319fd21\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-ef7199f\" data-id=\"ef7199f\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-cc99ca2 elementor-widget elementor-widget-text-editor\" data-id=\"cc99ca2\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Esta capacidad denominada\u00a0Search Engine Optimization (SEO) permite que los resultados m\u00e1s relevantes aparezcan en primer lugar y de esta manera el usuario pueda acceder a los diferentes sitios de manera r\u00e1pida.\u00a0Conocida como SEO Poisoning, los atacantes &#8220;envenenan&#8221; al motor para que sus sitios aparezcan en primer lugar al colocar palabras clave como teamviewer o anydesk, y que la v\u00edctima sin saberlo ingrese a un sitio diferente al original y descargue alg\u00fan tipo de malware. En el caso recientemente detectado por investigadores de la empresa Mandiant, el software legitimo contiene el malware Batloader que posteriormente a su instalaci\u00f3n descarga varios elementos como un agente del software Atera que permite tener control remoto de los equipos sin que el usuario final se d\u00e9 cuenta.\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-c23eefc elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"c23eefc\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-9263dd3\" data-id=\"9263dd3\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-cb314f3 elementor-widget elementor-widget-image\" data-id=\"cb314f3\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Descubierta-2.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Cadena de infecci\u00f3n (Mandiant)<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-3c4ad43 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"3c4ad43\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-91dc1d7\" data-id=\"91dc1d7\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-a308ef2 elementor-widget elementor-widget-text-editor\" data-id=\"a308ef2\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Otra t\u00e9cnica usada por estos mismos ciberdelincuentes es descargar directamente el agente del software Atera mediante la supuesta instalaci\u00f3n de programas gratis y que estaban asociados a las palabras clave de b\u00fasqueda &#8220;free legitimate software&#8221;, es importante mencionar que, aunque Atera es un software leg\u00edtimo, los atacantes lo usan para ocultar sus actividades maliciosas. Luego de esto, el atacante enmascara el link de descarga real con una redirecci\u00f3n a su p\u00e1gina, donde se obtiene un paquete tanto del sistema requerido (en este caso Visual Studio) como el agente indicado. Finalmente, el programa realiza la descarga de otro programa de control remoto llamado Splashtop Streamer y adicionalmente modifica algunas llaves de registro para que se inicie cada vez que se reinicia el equipo, por otro lado, tiene la capacidad de deshabilitar el antimalware de Microsoft Windows Defender.<\/p><p><strong>Recomendaciones:<\/strong><\/p><p>Es importante que el usuario final sea consciente que el ciberespacio est\u00e1 lleno de t\u00e1cticas que buscan aprovechar la necesidad y la inocencia del usuario que, al buscar programas gratis, pueden contener malware que afectan no solo los equipos personales si no los elemento de la compa\u00f1\u00eda y ya que en varias ocasiones estas infecciones exfiltran datos tanto bancarios como corporativos. Por otro lado, bloquear los IOCs del presente bolet\u00edn tanto en los sistemas de navegaci\u00f3n como en los antimalware y\/o IPS.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-4b930ef elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"4b930ef\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-356944d\" data-id=\"356944d\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-4cda526 elementor-widget elementor-widget-image\" data-id=\"4cda526\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Descubierta-3.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Comandos ejecutados por malwre para deshabilitar sistemas de protecci\u00f3n (Mandiant)<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-3c35fc6 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"3c35fc6\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-006a50c\" data-id=\"006a50c\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5ab2a6c elementor-widget elementor-widget-text-editor\" data-id=\"5ab2a6c\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><strong>Indicadores de Compromiso (IOCs)<\/strong><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-6afe3e6 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"6afe3e6\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1a9f525\" data-id=\"1a9f525\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-c2d3496 elementor-widget elementor-widget-image\" data-id=\"c2d3496\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/02\/Descubierta-4.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-d2fa7a8 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"d2fa7a8\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-49d8603\" data-id=\"49d8603\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-13613b1 elementor-widget elementor-widget-text-editor\" data-id=\"13613b1\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><strong>Casos de uso *:<\/strong><\/p><ul><li>Eventos o Acciones realizadas a nivel Malware.<\/li><li>Seguimiento de actividades de un posible Ataque de d\u00eda Cero.<\/li><li>Control de acceso por geolocalizaci\u00f3n.<\/li><li>Servicios de anonimizaci\u00f3n.<\/li><li>Trafico sospechoso desde IP destino peligrosas.<\/li><li>Posible evento con Herramientas Exploit.<\/li><li>Exfiltraci\u00f3n de Datos.<\/li><\/ul><p><em>*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados<\/em><\/p><p>Para m\u00e1s informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/p><ul><li><a href=\"https:\/\/www.mandiant.com\/resources\/seo-poisoning-batloader-atera#:~:text=SEO%20poisoning%20is%20an%20attack,up%20prominently%20in%20search%20results\">https:\/\/www.mandiant.com\/resources\/seo-poisoning-batloader-atera#:~:text=SEO%20poisoning%20is%20an%20attack,up%20prominently%20in%20search%20results<\/a>.<\/li><li><a href=\"http:\/\/www.articlediary.com\/article\/seo-poisoning-what-are-seo-poisoning-attacks-427.html\">http:\/\/www.articlediary.com\/article\/seo-poisoning-what-are-seo-poisoning-attacks-427.html<\/a><\/li><li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/seo-poisoning-pushes-malware-laced-zoom-teamviewer-visual-studio-installers\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/seo-poisoning-pushes-malware-laced-zoom-teamviewer-visual-studio-installers\/<\/a><\/li><li><a href=\"https:\/\/www.atera.com\/\">https:\/\/www.atera.com\/<\/a><\/li><li><a href=\"https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Virus%3ABAT%2FLoader\">https:\/\/www.microsoft.com\/en-us\/wdsi\/threats\/malware-encyclopedia-description?Name=Virus%3ABAT%2FLoader<\/a><\/li><li><a href=\"https:\/\/www.splashtop.com\/es\/downloads\">https:\/\/www.splashtop.com\/es\/downloads<\/a><\/li><\/ul><p>\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>En los \u00faltimos d\u00edas, se ha detectado una campa\u00f1a de infecci\u00f3n de malware sobre diferentes equipos en el mundo aprovechando la capacidad de inteligencia de los buscadores como Google para arrojar datos optimizados en el momento que el usuario pone una palabra clave en el buscador, los atacantes est\u00e1n creando p\u00e1ginas que contienen malware y [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5561,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5556"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5556"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5556\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}