El ataque SolarMarker aprovecha los sitios débiles de WordPress y las actualizaciones falsas del navegador Chrome



Los investigadores han descubierto el grupo de ciberataques detrás del malware SolarMarker dirigido a una organización worldwide de consultoría fiscal con presencia en los EE. UU., Canadá, el Reino Unido y Europa, que utiliza actualizaciones falsas del navegador Chrome como parte de los ataques de abrevadero.

Es un nuevo enfoque para el grupo, que reemplaza su método anterior de envenenamiento por optimización de motores de búsqueda (Search engine marketing), también conocido como spamdexing.

SolarMarker es un malware de varias etapas que puede filtrar datos de autocompletado, contraseñas guardadas e información de tarjetas de crédito guardada de los navegadores net de las víctimas.

¿Preparación para un ataque más amplio?

De acuerdo a un aviso publicado por la Unidad de Respuesta a Amenazas (TRU) de eSentire el viernes, se vio al grupo de amenazas explotando las debilidades en el sitio net de un fabricante de equipos médicos, que fue construido con el preferred sistema de gestión de contenido de código abierto WordPress.

La víctima period un empleado de una organización de consultoría fiscal y buscó al fabricante por su nombre en Google.

«Esto engañó al empleado para que descargara y ejecutara SolarMarker, que estaba disfrazado como una actualización de Chrome», señaló el aviso.

«El diseño de superposición de actualización del navegador falso se basa en el navegador que utiliza la víctima mientras visita el sitio web infectado», agregó el aviso. «Además de Chrome, el usuario también puede recibir la página PHP de actualización falsa de Firefox o Edge».

No está claro si el grupo de SolarMarker está probando nuevas tácticas o preparándose para una campaña más amplia, dado que el equipo de TRU solo ha observado una infección de este tipo de vector: los ataques anteriores de SolarMarker utilizaron el envenenamiento de Search engine optimisation para atacar a las personas que buscaban en línea plantillas gratuitas de documentos comerciales populares y formularios comerciales.

Supervise los puntos finales, eleve la conciencia de los empleados

El aviso de TRU describe cuatro pasos clave que las organizaciones pueden tomar para reducir el impacto de este tipo de ataques, incluida la concienciación de los empleados sobre las actualizaciones del navegador que se producen automáticamente y evitar la descarga de archivos de sitios desconocidos.

«Los actores de amenazas investigan el tipo de documentos que buscan las empresas y tratan de ponerse frente a ellos con Search engine optimisation», decía el aviso. «Solo use fuentes confiables cuando descargue contenido de World wide web y evite el program gratuito y empaquetado».

El aviso también recomendó un monitoreo de punto final más atento, que TRU agrega que requerirá actualizaciones de reglas más frecuentes para detectar las últimas campañas, así como un monitoreo mejorado del panorama de amenazas para reforzar la postura de defensa common de la organización.

SolarMarker vuelve a hacer campaña después del período de inactividad

El malware .Net se descubrió por primera vez en 2020 y, por lo standard, se propaga a través de un instalador de PowerShell, con capacidades de recopilación de información y una puerta trasera.

En octubre de 2021, Sophos Labs observó una serie de campañas activas de SolarMarker que seguían un patrón común: utilizando técnicas de Search engine optimisation, los ciberdelincuentes lograron colocar enlaces a sitios net con contenido troyano en los resultados de búsqueda de varios motores de búsqueda.

Una campaña anterior de SolarMarker informada por Menlo Safety en octubre de 2021 utilizó más de 2000 términos de búsqueda únicos, lo que atrajo a los usuarios a sitios que luego lanzaron archivos PDF maliciosos manipulados con puertas traseras.



Enlace a la noticia authentic