Malware utiliza SEO e documentos em PDF para roubar senhas

2 min de leitura
Imagem de: Malware utiliza SEO e documentos em PDF para roubar senhas
Imagem: https://thebullinneastfarleigh.co.uk/seo-poisoning-used-to-backdoor-targets-with-malware.html
Avatar do autor

A Microsoft confirmou que está investigando uma série de ataques que utilizam palavras-chaves (SEO) em documentos PDFs para infectar equipamentos de usuários. Segundo relatório da empresa, esse trojan de acesso remoto (RAT) é capaz de roubar dados confidenciais em navegadores web e alterar atalhos da área de trabalho, levando as vítimas para sites maliciosos.

O novo golpe foi alertado pela Microsoft em 11 de junho deste ano e relatou que o malware utilizado é o SolarMaker (também conhecido como Jupyter, Polazert e Yellow Cockatoo). Esse .NET RAT, então, fundamenta-se em uma porta de entrada que fornece a seus controladores o acesso a dispositivos infectados, executando na memória ações de coletas de dados e um backdoor para sistemas considerados comprometidos.

Essa técnica de roubo de informações é um clássico conhecido como "envenenamento por SEO" e utiliza mecanismos de busca para espalhar malware. Na nova versão, os golpistas hospedam páginas no Google Sites como iscas para pegar desavisados, através de downloads de documentos em PDF, campanhas para impulsionar boas posições em buscadores e uma mímese do Google Drive para gerar credibilidade.

"Quando abertos, os PDFs solicitam aos usuários que baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados através de 5 a 7 sites com TLDs como .site, .tk e .ga", disse a Microsoft. "Após vários redirecionamentos, os usuários chegam a um site controlado por invasores, que imita o Google Drive, e são solicitados a baixar o arquivo."

AVast

Investigação e proteção contra o RAT

Até o momento, a Microsoft e empresas de proteção a ameaças seguem rastreando a origem do malware SolarMaker, e pesquisadores acreditam que seus fundadores sejam russos, visto que erros na tradução de russo para inglês foram detectados durante análise do RAT. Além disso, eles descobriram que muitos dos servidores C2 do malware estão localizados na Rússia, apesar de boa parte estar inativo.

Para se proteger do golpe, as ações mais recomendadas são evitar realizar downloads através de páginas suspeitas (especialmente se requererem envios de respostas ou formulários), estar com antivírus habilitado e utilizar gerenciadores de senhas e VPNs, visto que são as formas mais seguras para manter equipamentos afastados de hackers e garantir a segurança na navegação online.

Fontes