Se ha observado una campaña continua de ataque de envenenamiento de optimización de motores de búsqueda (SEO) que abusa de la confianza en las utilidades de software legítimas para engañar a los usuarios para que descarguen el malware BATLOADER en las máquinas comprometidas.
«El actor de amenazas utilizó temas de ‘instalación de aplicaciones de productividad gratuitas’ o ‘instalación de herramientas de desarrollo de software gratuitas’ como palabras clave de SEO para atraer a las víctimas a un sitio web comprometido y descargar un instalador malicioso», investigadores de Mandiant. dicho en un informe publicado esta semana.
En los ataques de envenenamiento de SEO, los adversarios aumentan artificialmente la clasificación del motor de búsqueda de los sitios web (genuinos o no) que alojan su malware para que aparezcan en la parte superior de los resultados de búsqueda para que los usuarios que buscan aplicaciones específicas como TeamViewer, Visual Studio y Zoom se infecten con programa malicioso
El instalador, aunque empaqueta el software legítimo, también se incluye con la carga útil de BATLOADER que se ejecuta durante el proceso de instalación. Luego, el malware actúa como un trampolín para obtener más información sobre la organización objetivo mediante la descarga de ejecutables de la siguiente etapa que propagan la cadena de infección de múltiples etapas.
Uno de esos ejecutables es una versión manipulada de un componente interno de Microsoft Windows que se adjunta con un VBScript malicioso. Posteriormente, el ataque aprovecha una técnica llamada ejecución de proxy binario firmado para ejecutar el archivo DLL usando la utilidad legítima «Mshta.exe».
Esto da como resultado la ejecución del código VBScript, lo que activa de manera efectiva la siguiente fase del ataque en la que cargas adicionales como Atera Agent, Baliza de ataque de cobaltoy Ursnif se entregan en las etapas posteriores para ayudar a realizar el reconocimiento remoto, la escalada de privilegios y la recolección de credenciales.
Además, en una señal de que los operadores experimentaron con diferentes estratagemas, una variante alternativa de la misma campaña entregó el software de gestión de monitoreo remoto Atera directamente como consecuencia del compromiso inicial de continuar con las actividades posteriores a la explotación.
Mandiant también mencionó las superposiciones de los ataques con las técnicas adoptadas por la pandilla de ransomware Conti, que fueron publicitado en agosto 2021. «En este momento, debido a la publicación de esta información, otros actores no afiliados pueden estar replicando las técnicas por sus propios motivos y objetivos», dijeron los investigadores.
