Cibercriminosos estão usando anúncios para posicionar sites maliciosos no topo dos resultados de busca, imitando páginas autênticas da Palo Alto Networks e induzindo os usuários a baixar e instalar o WikiLoader, um loader de malware que pode baixar payloads adicionais para roubar informações e proporcionar acesso remoto a invasores.
Leia também
Hackers invadem PostgreSQL e plantam cryptominer
Intenção de investir em TI recua no Brasil
Pesquisadores alertam que o WikiLoader continuará a ser uma ameaça significativa mesmo após 2024. Esse malware tem capacidade de encerrar sua atividade caso detecte software de máquina virtual, indicando que os invasores estão se adaptando para evitar a análise e detecção em ambientes de segurança.
Pesquisadores da Unit 42, da Palo Alto Networks, identificaram essa nova campanha em junho de 2024, que vem com uma mudança de estratégia dos IABs (corretores de acesso inicial), que estão migrando do phishing tradicional para o envenenamento de SEO: essa estratégia faz com que os sites controlados pelos cibercriminosos apareçam entre os primeiros resultados de pesquisas, ampliando assim o alcance e o número das vítimas em potencial. Organizações dos setores de ensino superior e transporte dos EUA já foram afetadas pelo WikiLoader.
Ativo desde 2022, o WikiLoader é um loader que foi atualizado com novos truques para evitar sua detecção. Ele tem sido usado para distribuir trojans bancários e outros malwares. Para evitar suspeitas, exibe mensagens de erro falsas e usa softwares legítimos, renomeados para carregar backdoors, comunicando-se com sites WordPress comprometidos para comando e controle.