Un reciente reporte señala que un grupo de hacking está empleando tácticas de optimización de motor de búsqueda (SEO) para engañar a los usuarios y atraerlos a más de 100 mil sitios web maliciosos de apariencia legítima a través del navegador Google.
El objetivo de esta campaña es instalar un troyano de acceso remoto (RAT) en los dispositivos vulnerables, lo que permitiría el despliegue de ataques e infecciones posteriores. Los expertos de la firma eSentire detectaron esta campaña, mencionando que las páginas web maliciosas aparecen en los resultados del navegador cuando el usuario busca términos relacionados con facturas, recibos, cuestionarios y currículum.
Los hackers usan la redirección de búsqueda y métodos de descarga directa para redirigir a los usuarios a los sitios de descarga del troyano identificado como SolarMarket (también conocido como Jupyter, Yellow Cockatoo o Polazert). Los usuarios que visitan un sitio web comprometido son infectados casi inmediatamente después de ingresar a estas páginas a través de un archivo PDF malicioso.
Para los expertos, esta es una campaña altamente sofisticada y con un alcance potencial enorme: “Los hackers han sabido explotar un punto ciego evidente en los controles de seguridad en la red, lo que permite a los usuarios ejecutar binarios o archivos de script que no son de confianza a voluntad.”
En su reporte los investigadores detallaron un reciente incidente en el que un usuario en la industria financiera se convirtió en víctima de un ciberataque luego de descargar un documento malicioso desde un sitio web controlado por cibercriminales. Para los expertos los miembros de la industria de servicios financieros son el objetivo ideal de esta clase de campañas maliciosas, ya que cuentan con acceso a múltiples fuentes de información confidencial.
Sobre el troyano empleado por los hackers, los investigadores señalan que una vez que se ha instalado en el dispositivo de la víctima, el RAT podría cargar malware adicional para el robo de credenciales de inicio de sesión y el secuestro de cuentas en línea: “Los hackers también podrían instalar ladrones de información de esta forma, recopilando credenciales email para lanzar un esquema de compromiso de email empresarial”, señala el reporte.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo Miles de dispositivos infectados con el Troyano SolarMarket a través de sitios web maliciosos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario