¿Te suenan Zoom y TeamViewer? ¿Y el malware BATLOADER? Una empresa de ciberseguridad acaba de descubrir una campaña intrusiva por optimización de motores de búsqueda (SEO) destinada a engañar a los usuarios para que instalen malware en sus ordenadores. La campaña funciona aprovechando varias técnicas de SEO, como la introducción de toneladas de palabras clave en el código fuente de varias páginas web maliciosas, con el fin de situar esas páginas web en los primeros puestos de los resultados de búsqueda de varias aplicaciones de productividad de descarga gratuita.
El equipo de Mandiant descubrió que esta campaña tiene dos cadenas de infección diferentes. La primera cadena de infección se dirige a los usuarios que buscan paquetes de software. Un usuario que busca algo como «instalación de herramientas de desarrollo de software gratuito» puede ver un sitio web comprometido entre los resultados de búsqueda de la primera página y visitar ese sitio. Si el usuario descarga y ejecuta el instalador de software en el sitio comprometido, se instalará un software legítimo, pero junto con ese software está el malware BATLOADER.
Una vez que el malware BATLOADER se ejecuta como parte del proceso de instalación, comienza una cadena de infección de varias etapas, donde cada etapa implica la descarga y ejecución de una carga útil maliciosa adicional. Una de estas cargas útiles contiene VBScript malicioso incrustado dentro de un componente interno legítimo de Windows, AppResolver.dll. A pesar del VBScript malicioso, la firma del código de la DLL de muestra sigue siendo válida, un problema que Microsoft intentó solucionar con un parche para CVE-2020-1599.
En una etapa posterior de esta cadena de ataque, la carga útil maliciosa instala malware adicional, así como ATERA. Sin embargo, la segunda cadena de ataque se salta los pasos anteriores e instala ATERA directamente.
Esta segunda cadena de ataque se dirige a los usuarios que buscan software específico, en lugar de paquetes de software. Cuando un usuario busca «instalación gratuita de TeamViewer», por ejemplo, uno de los primeros resultados enlazará con un sitio web comprometido que abusa de un Sistema de Dirección de Tráfico (TDS). El TDS intentará dirigir a los usuarios desprevenidos a un sitio web malicioso, mientras que muestra una página web legítima a los investigadores de seguridad que intentan cazar el malware.
Los usuarios dirigidos al sitio web malicioso encontrarán un tablón de anuncios con un enlace de descarga de lo que parece ser un software legítimo, pero que en realidad es el paquete de instalación del agente ATERA. ATERA es un software legítimo de monitorización y gestión remota (RMM), pero los actores de la amenaza en este caso lo utilizan para ejecutar scripts preconfigurados, realizar tareas maliciosas, instalar malware persistente y, finalmente, desinstalarse, una vez que ha hecho su trabajo.
Según Mandiant, parte de la actividad de la cadena de ataque se solapa con las técnicas utilizadas en las operaciones del ransomware CONTI. El grupo de amenazas que está detrás de esta campaña de envenenamiento de SEO puede estar replicando las técnicas de CONTI, basándose en los documentos de formación, libros de jugadas y herramientas que fueron filtrados por un afiliado descontento de CONTI en agosto de 2021.
El informe de Mandiant sobre la campaña de envenenamiento SEO contiene más detalles, incluyendo algunos de los dominios maliciosos que se utilizan en la campaña, así como los valores hash MD5 de los paquetes maliciosos utilizados en la campaña.
