El envenenamiento de SEO es una táctica maliciosa en la que los actores de amenazas manipulan los resultados de los motores de búsqueda para promocionar sitios web dañinos mediante la explotación de palabras clave de tendencia.
Este enfoque no sólo pone en riesgo la información personal, sino que también puede dañar la reputación de empresas legítimas.
Cuando los usuarios hacen clic en estos enlaces que parecen legítimos, se inicia la secuencia de ataque de malware de tres etapas: –
• Primero, descarga un archivo .zip malicioso que contiene JavaScript ofuscado.
• El próximo objetivo es implementar una carga útil de segunda etapa, que crea persistencia a través del Programador de tareas de Windows y la ejecución de WScript.exe.
• Por último, ofrece un ladrón de información avanzado y RAT denominado «GootKit».
Al utilizar los comandos «PowerShell», la RAT mantiene la persistencia en la red de la víctima y puede implementar Cobalt Strike o ransomware.
Los autores del malware han implementado el uso de una metodología avanzada de ofuscación de nombres de archivos (usando secuencias numéricas aleatorias), código JavaScript considerablemente ofuscado enmascarado con comentarios de licencia de apariencia legítima, así como para evadir las rutas del sistema que dirige a AppData\Roaming.
El más nuevo (3.0) también compone archivos llamados “Huthwaite SPIN Selling.dat” y “Small Units Tactics.js” y establece cronogramas de tareas con los títulos de “Business Aviation” y “Destination Branding”, efectivos para mejorar su persistencia en un máquina infectada, se lee en el informe.
El archivo JavaScript malicioso “Are_bengal_cats_legal_in_australia_72495.js” exhibió una cadena de ejecución compleja donde “WScript.exe” creó inicialmente un archivo en el directorio “C:\Users<Username>\AppData\Roaming\Notepad++” durante el análisis dinámico de malware.
Además de esto, no hay señales de que Windows Sysinternals Process Monitor haya rastreado los eventos de escritura o eliminación del disco.
El flujo de ejecución continuó cuando Process Hacker registró los procesos CScript.exe y PowerShell.exe, generando instancias de conhost.exe.
El malware utilizó irregularidades, como la tarea programada «Destination Branding», para iniciar CScript.exe, que ejecutó el comando smallu1.js wscript SMALLU1.js, que ayuda a establecer la persistencia.
Aquí, los analizadores de red (Wireshark y FakeNet) revelan PowerShell.exe, lo que realiza solicitudes «HTTP GET» a múltiples dominios con puntos finales «/xmlrpc.php».
No solo eso, también transmite las cookies “codificadas en Base64” que contienen datos de reconocimiento del sistema (rutas de directorio como “C:\Users<Username>\AppData\Roaming” junto con información de NOMBRE DE USUARIO y DOMINIO DE USUARIO).
El malware mostró flexibilidad, ya que podía colocar cargas útiles de JavaScript secundarias en cualquiera de las carpetas que ya estaban creadas en el directorio AppData\Roaming.
