Seguro que más de uno de nosotros, en alguna ocasión, ha descargado alguna plantilla de Internet para alguno de nuestros trabajos. Asimismo, posiblemente las hemos pasado pocas veces por algún motor antivirus para comprobar si tienen contenido malicioso. Si es ese tu caso, a partir de ahora tocará implementar nuevas prácticas de seguridad en el día a día para evitar que nuestros equipos sean infectados por SolarMarker.

El grupo de actores maliciosos detrás de este RAT ha creado alrededor de 100.000 páginas con palabras clave como «template», «invoice», «receipt», «questionnaire» y «resume» para atraer a los usuarios. Cuando la persona accede a la página y hace clic en el botón de descarga, es redireccionada a un sitio controlado por los ciberdelincuentes. Entonces se produce la descarga del contenido malicioso:

Proceso de descarga del malware
Fuente: eSentire

En la imagen anterior se puede observar la cadena de descarga. Junto a la plantilla que incluye el RAT, se incluye un visor de documentos PDF poco conocido para distraer al usuario y camuflar así la instalación del malware. Una vez descargado, se ejecutan diversos comandos de Powershell que podrían tener como principal objetivo llevar a cabo una campaña de ransomware o bien robo de credenciales, fraude, etc.

Proceso de instalación de SolarMarker
Fuente: eSentire

Existen herramientas que nos ayudan a evitar vernos afectados por este tipo de campañas, y VirusTotal es una de ellas. Allí podremos comprobar la legitimidad del sitio al que accedemos y de los archivos descargados.

Más información

Hackers Flood the Web with 100,000 Malicious Pages, Promising Professionals Free Business Forms, But Delivering Malware, Reports eSentire

Fuente: Hispasec