A Microsoft confirmou que está investigando uma série de ataques que utilizam palavras-chaves (SEO) em documentos PDFs para infectar equipamentos de usuários. Segundo relatório da empresa, esse trojan de acesso remoto (RAT) é capaz de roubar dados confidenciais em navegadores web e alterar atalhos da área de trabalho, levando as vítimas para sites maliciosos.
O novo golpe foi alertado pela Microsoft em 11 de junho deste ano e relatou que o malware utilizado é o SolarMaker (também conhecido como Jupyter, Polazert e Yellow Cockatoo). Esse .NET RAT, então, fundamenta-se em uma porta de entrada que fornece a seus controladores o acesso a dispositivos infectados, executando na memória ações de coletas de dados e um backdoor para sistemas considerados comprometidos.
Essa técnica de roubo de informações é um clássico conhecido como "envenenamento por SEO" e utiliza mecanismos de busca para espalhar malware. Na nova versão, os golpistas hospedam páginas no Google Sites como iscas para pegar desavisados, através de downloads de documentos em PDF, campanhas para impulsionar boas posições em buscadores e uma mímese do Google Drive para gerar credibilidade.
As intended, these PDF files or pages referencing them turn up in search results. When opened, the PDFs prompt users to download a .doc file or a .pdf version of their desired info. Users who click the links are redirected through 5 to 7 sites with TLDs like .site, .tk, and .ga. pic.twitter.com/cBeTfteyGl
— Microsoft Security Intelligence (@MsftSecIntel) June 11, 2021
"Quando abertos, os PDFs solicitam aos usuários que baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados através de 5 a 7 sites com TLDs como .site, .tk e .ga", disse a Microsoft. "Após vários redirecionamentos, os usuários chegam a um site controlado por invasores, que imita o Google Drive, e são solicitados a baixar o arquivo."
Investigação e proteção contra o RAT
Até o momento, a Microsoft e empresas de proteção a ameaças seguem rastreando a origem do malware SolarMaker, e pesquisadores acreditam que seus fundadores sejam russos, visto que erros na tradução de russo para inglês foram detectados durante análise do RAT. Além disso, eles descobriram que muitos dos servidores C2 do malware estão localizados na Rússia, apesar de boa parte estar inativo.
Para se proteger do golpe, as ações mais recomendadas são evitar realizar downloads através de páginas suspeitas (especialmente se requererem envios de respostas ou formulários), estar com antivírus habilitado e utilizar gerenciadores de senhas e VPNs, visto que são as formas mais seguras para manter equipamentos afastados de hackers e garantir a segurança na navegação online.
Fontes
Categorias
