Envenenan los resultados de búsqueda de Google difundiendo malware

Iniciado por AXCESS, Septiembre 03, 2024, 06:19:58 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 03, 2024, 06:19:58 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas están suplantando el software VPN GlobalProtect y entregando cargas útiles maliciosas a las personas que confían en los primeros resultados de la Búsqueda de Google, advierte Palo Alto. Esto supone un cambio con respecto a los ataques de phishing tradicionales.

Los investigadores de seguridad de Unit 42, una rama de seguridad de Palo Alto Networks, descubrieron una nueva campaña maliciosa en junio de 2024.

Aprovechando la marca VPN GlobalProtect, los actores de amenazas colocaron anuncios en la Búsqueda de Google, que aparecieron encima de otros resultados de búsqueda, lo que llevó a un sitio web malicioso.

Las páginas de destino imitaban sitios web auténticos de Palo Alto para GlobalProtect y engañaban a los usuarios para que descargaran un cargador de malware disfrazado, WikiLoader.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

WikiLoader puede descargar cargas útiles adicionales, robar información y proporcionar a los atacantes acceso remoto. Este cargador en alquiler ha estado activo desde al menos finales de 2022 y se ha actualizado con "algunos trucos únicos".

Los investigadores creen que los intermediarios de acceso inicial (actores de amenazas que se especializan en obtener acceso a sistemas informáticos) están pasando del phishing, a la entrega a través del envenenamiento SEO (optimización de motores de búsqueda).

El envenenamiento SEO significa que los sitios controlados por el atacante aparecen en la primera página de los resultados de búsqueda en lugar de productos legítimos. Los piratas informáticos intentan esto comprando anuncios o mejorando el ranking de la página.

Los investigadores de Palo Alto advierten que el envenenamiento SEO amplía el alcance de las víctimas potenciales y ya han observado algunas organizaciones en los sectores de la educación superior y el transporte de EE. UU. afectadas por WikiLoader.

"Si bien el envenenamiento SEO no es una técnica nueva, sigue siendo una forma eficaz de entregar un cargador a un punto final. Es probable que la suplantación de software de seguridad confiable ayude a eludir los controles de puntos finales en organizaciones que dependen de listas de permitidos basadas en nombres de archivo", afirma el informe de Unit 42.

Proofpoint informó anteriormente que los atacantes utilizaron WikiLoader para enviar troyanos bancarios como Danabot o Ursnif/Gozi a organizaciones en Italia.

Los atacantes utilizaron muchos trucos para evadir la detección. El archivo de muestra obtenido de una víctima se llamaba GlobalProtect64. Sin embargo, era una copia renombrada de una aplicación legítima de compraventa de acciones utilizada para instalar el primer componente de WikiLoader. El archivo zip incluía más de 400 archivos ocultos.

Para evitar que las víctimas se pregunten por qué no se instaló GlobalProtect, el malware muestra un mensaje de error falso que dice que falta una DLL una vez que se completa la infección.

Otro software legítimo renombrado, como la herramienta Microsoft Sysinternals ADInsight.exe, se ocultó dentro del instalador para instalar puertas traseras.

Para el comando y control, el malware se comunica con sitios de WordPress comprometidos.

"La muestra de WikiLoader se detendrá si encuentra procesos relacionados con el software de la máquina virtual", señalaron los investigadores.

Sospechan que WikiLoader seguirá utilizándose durante 2024 y más allá.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario