Desde octubre de 2020, un grupo de actores maliciosos estaría distribuyendo el malware SolarMarker en plantillas gratuitas mediante redirecciones en Google.
Seguro que más de uno de nosotros, en alguna ocasión, ha descargado alguna plantilla de Internet para alguno de nuestros trabajos. Asimismo, posiblemente las hemos pasado pocas veces por algún motor antivirus para comprobar si tienen contenido malicioso. Si es ese tu caso, a partir de ahora tocará implementar nuevas prácticas de seguridad en el día a día para evitar que nuestros equipos sean infectados por SolarMarker.
El grupo de actores maliciosos detrás de este RAT ha creado alrededor de 100.000 páginas con palabras clave como «template», «invoice», «receipt», «questionnaire» y «resume» para atraer a los usuarios. Cuando la persona accede a la página y hace clic en el botón de descarga, es redireccionada a un sitio controlado por los ciberdelincuentes. Entonces se produce la descarga del contenido malicioso:
Fuente: eSentire
En la imagen anterior se puede observar la cadena de descarga. Junto a la plantilla que incluye el RAT, se incluye un visor de documentos PDF poco conocido para distraer al usuario y camuflar así la instalación del malware. Una vez descargado, se ejecutan diversos comandos de Powershell que podrían tener como principal objetivo llevar a cabo una campaña de ransomware o bien robo de credenciales, fraude, etc.
Fuente: eSentire
Existen herramientas que nos ayudan a evitar vernos afectados por este tipo de campañas, y VirusTotal es una de ellas. Allí podremos comprobar la legitimidad del sitio al que accedemos y de los archivos descargados.
Más información
Deja una respuesta