Se encontró una campaña de envenenamiento de SEO que propaga el malware Batloader y Atera Agent. Los objetivos son profesionales que buscan herramientas tipo Visual Studio, Zoom y TeamViewer. Los atacantes aprovechan las técnicas de SEO para »envenenar» los resultados de la búsqueda, posicionando sitios falsos utilizando las palabras claves más buscadas en Google. En […]
Se encontró una campaña de envenenamiento de SEO que propaga el malware Batloader y Atera Agent. Los objetivos son profesionales que buscan herramientas tipo Visual Studio, Zoom y TeamViewer.
Los atacantes aprovechan las técnicas de SEO para »envenenar» los resultados de la búsqueda, posicionando sitios falsos utilizando las palabras claves más buscadas en Google.
En este caso, los piratas informáticos apuntan a Microsoft Visual Studio 2015, Zoom y TeamViewer, entre otros.
Cada vez que un visitante entra en este resultado de búsqueda malicioso, se se redirige a un sitio ya comprometido con un sistema de dirección de tráfico (TDS).
Después de la redirección, el sitio muestra una discusión de foro falsa donde un usuario pregunta sobre una aplicación específica y otro usuario falso proporciona un enlace de descarga.
Si el usuario clickea el enlace descarga, se crea un instalador de malware empaquetado con el nombre de la aplicación deseada. Engañando de esta manera a muchos usuarios que confían en la legitimidad del software.
La infección de malware
Si el instalador descargado se está ejecutando, dos cadenas de infección diferentes lanzan cargas útiles de malware en el sistema.
La primera cadena de infección instala software falso incluido con BATLOADER, Atera Agent y Ursnif. La segunda infección elimina el Agente ATERA sin las etapas de carga del malware.
Además, la primera cadena de infección usó MSHTA para ejecutar una DLL de Windows genuina (AppResolver) cargada con VBScript malicioso para alterar la configuración de Defender y agregar exclusiones específicas.
Los investigadores afirman que algunas técnicas utilizadas en las campañas coinciden con algunas relacionadas a Conti -que se filtraron en agosto de 2020- y luego fueron replicadas por varios grupos e individuos.
