Los investigadores han descubierto el grupo de ciberataques detrás del malware SolarMarker, que se dirige a una organización global de asesoría fiscal con presencia en los EE. UU., Canadá, el Reino Unido y Europa utilizando actualizaciones falsas del navegador Chrome como parte de los ataques de abrevadero.
Es un nuevo enfoque para el grupo, que reemplaza su método anterior de optimización de motores de búsqueda (SEO), también conocido como spamdexing.
SolarMarker es un malware de varias etapas que puede filtrar datos de Autocompletar, contraseñas guardadas e información de tarjetas de crédito guardada de los navegadores web de las víctimas.
¿Preparándose para un ataque más amplio?
Según un aviso publicado el viernes por la Unidad de Respuesta a Amenazas (TRU) de eSentire, se observó que el grupo de amenazas explotaba vulnerabilidades en el sitio web de un fabricante de dispositivos médicos, creado con el popular sistema de gestión de contenido de código abierto WordPress.
La víctima era empleada de una asesoría fiscal y buscó al fabricante por su nombre en Google.
«Esto engañó al empleado para que descargara y ejecutara SolarMarker disfrazado como una actualización de Chrome», decía el aviso.
«El diseño superpuesto de la actualización del navegador falso se basa en el navegador que usa la víctima cuando visita el sitio web infectado», agregó el asesor. «Además de Chrome, el usuario también puede recibir la página PHP de actualización falsa de Firefox o Edge».
No está claro si el grupo de SolarMarker está probando nuevas tácticas o preparándose para una campaña más amplia, ya que el equipo de TRU solo ha observado una única infección de este tipo de vector: los ataques anteriores de SolarMarker utilizaron el envenenamiento de SEO para apuntar a las personas que buscaron en línea Plantillas gratuitas de populares documentos comerciales y formularios comerciales.
Supervisar puntos finales, sensibilizar a los empleados
La recomendación de TRU describe cuatro pasos clave que las empresas pueden tomar para mitigar el impacto de este tipo de ataques, incluida la concienciación de los empleados sobre las actualizaciones del navegador que se producen automáticamente y evitar la descarga de archivos de sitios web desconocidos.
«Los actores de amenazas están investigando el tipo de documentos que buscan las empresas y tratando de adelantarse a ellos con SEO», dice la guía. «Use solo fuentes confiables cuando descargue contenido de Internet y evite el software gratuito y empaquetado».
El aviso también recomendó un monitoreo de punto final más atento, que según TRU requerirá actualizaciones de reglas más frecuentes para detectar las últimas campañas, así como un mejor monitoreo del panorama de amenazas para fortalecer la postura defensiva general de la organización.
SolarMarker vuelve a hacer campaña después del período de inactividad
El malware .NET se descubrió por primera vez en 2020 y generalmente se distribuye a través de un instalador de PowerShell con capacidades de recopilación de inteligencia y una puerta trasera.
En octubre de 2021, Sophos Labs observó varias campañas activas de SolarMarker que seguían un patrón común: utilizando técnicas de SEO, los ciberdelincuentes lograron colocar enlaces a sitios web con contenido troyano en los resultados de búsqueda de varios motores de búsqueda.
Una campaña anterior de SolarMarker, informada por Menlo Security en octubre de 2021, utilizó más de 2000 términos de búsqueda únicos y atrajo a los usuarios a sitios web, que luego lanzaron archivos PDF maliciosos con puerta trasera.
