La campaña de envenenamiento de SEO ata su Teleobjetivo y TeamViewer instala el malware BATLOADER

UNA la seguridad cibernética La compañía descubrió recientemente una campaña de envenenamiento de optimización de motores de búsqueda (SEO) destinada a engañar a los usuarios para que instalen malware en sus computadoras. La campaña funciona aprovechando varias técnicas de SEO, como insertar toneladas de palabras secreto en el código fuente de varias páginas web maliciosas para elevar esas páginas web a la parte superior de los resultados de búsqueda para varias aplicaciones de productividad descargables gratuitas.

El equipo de Mandiant descubrió que esta campaña tiene dos cadenas de infección diferentes. La primera cautiverio de infección se dirige a los usuarios que buscan paquetes de software. Un heredero que busque poco como «instalar herramientas de progreso de software gratuitas» podría ver un sitio web comprometido entre los resultados de búsqueda en la primera página y examinar ese sitio web. Si el heredero descarga y ejecuta el instalador del software desde el sitio web comprometido, instalará el software cierto pero el BATLOADER incluido con ese software. malware.

Una vez que el malware BATLOADER se ejecuta como parte del proceso de instalación, comienza una cautiverio de infección de varias etapas, donde cada etapa implica la descarga y ejecución de una carga útil maliciosa adicional. Una de estas cargas aperos contiene VBScript bellaco incrustado en un componente interno cierto de Windows, AppResolver.dll. A pesar del VBScript bellaco, la firma del código de la muestra DLL sigue siendo válida, lo cual es un problema que microsoft intenté resolverlo con un parche para CVE-2020-1599.

En una etapa posterior de esta cautiverio de ataque, la carga útil maliciosa instala malware adicional encima de ATERA. Sin confiscación, la segunda cautiverio de ataque salta los pasos anteriores e instala ATERA directamente.

Esta segunda cautiverio de ataque se dirige a usuarios que buscan software específico en zona de paquetes de software. Cuando un heredero averiguación «instalación gratuita de TeamViewer», por ejemplo, uno de los mejores resultados lo dirigirá a un sitio web comprometido que abusa de un sistema de dirección de tráfico (TDS). TDS intentará dirigir a los usuarios desprevenidos a un sitio web bellaco, mientras muestra una página legítima a los investigadores de seguridad que intentan apañarse malware.

Los usuarios dirigidos al sitio bellaco encontrarán un tablero de mensajes con un enlace de descarga de lo que parece ser un software cierto, pero en efectividad es el paquete de instalación del agente ATERA. ATERA es un software cierto de agencia y monitoreo remoto (RMM), pero los actores de amenazas en este caso lo usan para ejecutar scripts preconfigurados, realizar tareas maliciosas, instalar malware persistente y finalmente desinstalarse una vez que concluye su trabajo.

Según Mandiant, algunas de las actividades en la cautiverio de ataque se superponen con las técnicas utilizadas en ransomware CONTI operaciones. El liga de amenazas detrás de esta campaña de envenenamiento de SEO puede estar replicando las técnicas de CONTI, basándose en documentos de capacitación, manuales y herramientas que fueron filtrados por un afiliado de CONTI descontento en agosto de 2021.

informe mandante en la campaña SEO Poison contiene más detalles, incluidos algunos de los dominios maliciosos utilizados en la campaña, así como los títulos hash MD5 de los paquetes maliciosos utilizados en la campaña.