Distribuyen malware en plantillas PDF maliciosos

Desde octubre de 2020, un grupo de actores maliciosos estaría distribuyendo el malware SolarMarker en plantillas gratuitas mediante redirecciones en Google. . La técnica consiste en crear páginas web de recursos profesionales útiles (plantillas de facturas, de presupuestos, escritos, etcétera) con los PDF, con la intención de que los usuarios crean que dichas páginas son fiables, así como su contenido, y los descarguen y abran, infectando así sus ordenadores.

El grupo de actores maliciosos detrás de este RAT ha creado alrededor de 100.000 páginas con palabras clave como «template», «invoice», «receipt», «questionnaire» y «resume» para atraer a los usuarios. Cuando la persona accede a la página y hace clic en el botón de descarga, es redireccionada a un sitio controlado por los ciberdelincuentes. Entonces se produce la descarga del contenido malicioso:

En la imagen anterior se puede observar la cadena de descarga. Junto a la plantilla que incluye el RAT, se incluye un visor de documentos PDF poco conocido para distraer al usuario y camuflar así la instalación del malware. Una vez descargado, se ejecutan diversos comandos de Powershell que podrían tener como principal objetivo llevar a cabo una campaña de ransomware o bien robo de credenciales, fraude, etc.

Para lograr atraer al máximo volumen posible de usuarios a estas páginas y que, de este modo, descarguen los PDF maliciosos, estos ciberdelincuentes ponen el foco en el SEO de dichas páginas, en lo que se denomina SEP (Search Engine Poisoning). De este modo, cuando un usuario busca una plantilla para una factura o un currículum, los buscadores mostrarán las páginas maliciosas entre los primeros resultados, y muchos usuarios caerán en la trampa, descargando el malware sin saber que lo es.

Una vez descargados y abiertos, los PDF de estas páginas proceden a instalar una RAT (Remote Access Tool) con la que hacerse con el control del sistema, que podrán emplear posteriormente con tantos fines como deseen. Adicionalmente, pueden emplear esta herramienta para garantizarse un acceso persistente al sistema incluso si la RAT es eliminada del mismo.

Las empresas responsables de los principales buscadores persiguen el SEP, pero aún así son bastantes los sitios web que consiguen colarse un tiempo entre los resultados legítimos, y la extendida y errónea creencia de que si algo aparece en un buscador es que es fiable, ocasiona que muchos usuarios caigan en trampas de este estilo de manera habitual. El caso de estos PDF es el último, pero hemos conocido otros muchos en el pasado.

Fuentes:

https://www.muyseguridad.net/2021/04/15/100000-paginas-con-pdf-maliciosos/

https://unaaldia.hispasec.com/2021/04/malware-en-plantillas-empresariales-de-descarga-gratuita.html