WWWhat's new

SolarMarker, el malware que usa documentos optimizados para SEO para capturar víctimas

malware

En muchas ocasiones encontramos archivos PDF cuando buscamos algo en Internet. Los navegadores modernos consiguen abrir estos documentos de forma inmediata, como si fueran páginas web tradicionales, y eso es algo que algunos criminales están aprovechando para infectar a usuarios con virus.

Estamos hablando del malware conocido como SolarMarker, virus que usa el «Envenenamiento de SEO«, que utiliza documentos PDF llenos de palabras clave para que aparezcan en las primeras posiciones de Google cuando buscamos información diversa, llevando a los usuarios a un sitio malicioso que se hace pasar por Google Drive.

Microsoft lo describe como un malware de puerta trasera, capaz de robar datos y credenciales de los navegadores.

Esta técnica llamada envenenamiento de SEO no es nueva, muchas veces se ha practicado algo así para difundir malware dentro de los buscadores, pero el usar miles de PDF optimizados, con enlaces que llevan a la verdadera amenaza, es algo bastante original.

Los usuarios tienden a confiar en los archivos PDF, y si en alguno de ellos hay un enlace, la probabilidad de que alguien haga click aumenta. En este caso la información estaba relacionada con formularios de seguro, tutoriales de SQL y respuestas de problemas matemáticos, tal y como indicó en Twitter el equipo de Microsoft Security Intelligence.

En febrero Solarmaker se distribuía en América del Norte en páginas de Google Sites. Con el tiempo han empezado a usar también AWS y el servicio de Strikingly para guardar los archivos que contienen los enlaces hacia las amenazas.

Generalmente el PDF pide al usuario descargar un archivo .doc o un archivo .pdf con la información completa. Al hacer click, los usuarios comienzan a abrir de forma automática de 5 a 7 sitios con .site, .tk y .ga. Por último, el mareo de redirecciones termina en un sitio controlado por un atacante que imita a Google Drive, donde piden la descarga del archivo.

Los usuarios que abren el PDF, hacen click en el enlace, ven la redirección a varios sitios, terminan en el clon de google Drive e instalan el archivo malicioso, podrán sufrir desde robo de datos a problemas relacionados con modificaciones de accesos directos.

Salir de la versión móvil