Los investigadores de seguridad han identificado un ataque de optimización de motores de búsqueda (SEO) dirigido a usuarios de Microsoft Windows de habla china. La campaña, descubierta por Fortiguard Labs, manipuló los resultados de búsqueda para mostrar sitios web fraudulentos que se parecen estrechamente a los proveedores de software legítimos, atrayendo a las víctimas a descargar malware. Malware disfrazado de aplicaciones de confianza atacantes registró dominios parecidos y utilizaron sustituciones de carácter sutiles para engañar a los usuarios. Una vez que las víctimas aterrizaron en sitios web falsificados, se les pidió que instalaran versiones comprometidas de aplicaciones populares. Estos instaladores contenían tanto el software legítimo como el malware oculto, lo que hizo que las infecciones fueran más difíciles de detectar. «Estos sitios falsificados se impulsaron utilizando técnicas de SEO para clasificarse altamente en los resultados de búsqueda, asegurando que las infecciones a medida que los usuarios confían en los resultados de alto rango», explicó Mayuresh Dani, gerente de investigación de seguridad de la Unidad de Investigación de Amenazas de Qualys. «El resultado final, como siempre, es la instalación de malware, en este caso: las variantes de malware Hiddengh0st y Winos al incluir aplicaciones legítimas para confundir soluciones de seguridad». Una de las herramientas clave utilizadas en la campaña fue un guión llamado «Nice.js.» Este script administró una cadena de redirección de varios pasos, lo que eventualmente llevó a los usuarios a descargar instaladores maliciosos. Durante el análisis, los investigadores se centraron en un instalador falso de DeepL, que incluía componentes maliciosos como «enumw.dll» y múltiples fragmentos de archivo disfrazados dentro del paquete de configuración. Lea más sobre la distribución de malware: la campaña de malware USB difunde las tácticas y el robo de datos de criptominadores en todo el análisis de criptomineros en todo el mundo, el malware también incorporó controles extensas para evitar la detección. Enumw.dll, por ejemplo, validó si fue lanzado por el proceso del instalador de Windows y realizó pruebas de integridad del tiempo y de hardware para evadir los entornos de sandbox. Después de estas verificaciones, reconstruyó los archivos ocultos, los implementó en los directorios del sistema y ejecutó funciones que desencadenaron más infecciones. Una vez activo, el malware estableció la persistencia de varias maneras, que incluyen: Modificaciones de registro con entradas disfrazadas de creación de atajos para redirigir rutas de inicio de inicio Typelib secuestro a través de archivos XML maliciosos El malware también adaptó su comportamiento dependiendo de si detectó herramientas antivirus, como 360 de seguridad total. «El envenenamiento por SEO se aprovecha y aún más permite algunas de las técnicas de ataque de usuarios maliciosos más exitosos en juego: phishing y smishing», dijo Chad Cragle, CISO en Deepwatch. «Está trabajando efectivamente para enviar usuarios finales a sitios cargados de malware donde sus sistemas pueden verse comprometidos. Esto no es nuevo en absoluto. El envenenamiento de SEO solo permite a los atacantes realizar estas acciones a escala mucho más fácilmente». La carga útil final para el monitoreo de la carga útil final incluyó módulos para monitoreo continuo, recopilación de datos del sistema y comunicación de comando y control (C2). Admitió tareas, como registro de pulsación de teclas, monitoreo del portapapeles, actualizaciones de configuración e incluso secuestro de billeteras de criptomonedas. Los complementos adicionales sugirieron un enfoque particular en interceptar la actividad del telegrama y el monitoreo de la pantalla. Fortiguard Labs atribuyó a las familias de malware utilizadas en la campaña a las variantes Hiddengh0st y Winos. Los expertos en seguridad dijeron que la información robada podría aprovecharse para más ataques, lo que hace que el nivel de amenaza general sea alto. Dani recomendó que las organizaciones implementen capacitación multilingüe de conciencia de seguridad, despliegue el filtrado DNS, apliquen mecanismos de seguridad del navegador y establezcan políticas de descarga de software verificadas para reducir la exposición a las campañas de envenenamiento por SEO.