Los cibercrminales no se limitan a repetir patrones de comportamiento maliciosos sin más, sino que entre ellos hay verdaderos expertos que investigan nuevas vías para realizar sus fechorías. ¿Creías que ya lo habías visto todo? Un grupo de cibercriminales está intentando esparcir una nueva versión del troyano bancario Zeus Panda mediante Black Hat SEO.

Cibercriminales usan black hat SEO para esparcir el troyano bancario Zeus Panda

Cisco Talos descubrió una compleja campaña para distribuir el troyano Zeus Panda. Entre los detalles que ha descubierto y pudiéndose destacar su sorpresa por «cómo los atacantes refinan y cambian sus técnicas regularmente y muestran por qué el consumo continuo de inteligencia sobre amenazas es esencial para garantizar que las organizaciones permanezcan protegidas contra nuevas amenazas a lo largo del tiempo.»

Para llevar a cabo sus ataques mediante Black Hat SEO, el grupo de cibercriminales se apoya en sitios web hackeados en los cuales insertan palabras clave cuidadosamente seleccionadas, ya sea creando nuevas páginas web o bien manipulando las existentes. Los sitios web hackeados posicionan páginas en los primeros resultados de búsqueda cuando se realizan consultas específicas relacionadas con banca online o finanzas personales.

Los usuarios que hagan clic sobre los enlaces de los sitios web maliciosos serán dirigidos a páginas web en las cuales hay un código JavaScript malicioso que tendría que ejecutarse en segundo plano y redirigir al usuario a una serie de sitios en los cuales se invita a descargar un documento de Word malicioso. La cadena de redirecciones lleva a campañas de malvertising que invaden al usuario con la ejecución de páginas web que contienen anuncios maliciosos, kits de exploits, falsos soportes técnicos o actualizadores de software falsos.

El grupo de delicuentes ha combinado botnets de spam impulsados mediante SEO con una clásica cadena de redirecciones basadas en kits de exploits y malvertising. Por su parte, el documento de Word es aparentemente del mismo tipo que el que se recibe en campañas de spam estándar, solo diferenciándose en la forma de recibirlo.

El documento de Word no tiene nada novedoso como medio de ataque para instalar un malware, utilizando macros que ejecutan una serie de scripts ocultos para instalar la variante más reciente de Zeus Panda. Obviamente, esto requiere de que el usuario habilite la ejecución de las macros para llevar a cabo el ataque.

Fuente: BleepingComputer

Compartir