Un malware conocido como Gootkit RAT está siendo distribuido utilizando técnicas SEO. Las técnicas SEO (Search Engine Optimization) tienen como objetivo que una cierta web aparezca lo más arriba posible en los resultados de búsquedas de buscadores como Google. Evidentemente las webs con mayor tráfico aparecen antes que las que reciben poca atención.

Dos investigadores de Sophos han determinado que uno de los troyanos más importantes de los últimos años, Gootkit, cuyo principal objetivo son entidades bancarias, está aprovechándose de sitios web con muchas visitas para distribuirse.

Al contrario de otros casos donde los ciberdelincuentes utilizan servicios de publicidad para engañar a las víctimas y que abran links maliciosos, en el caso de Gootkit sus responsables mantienen toda una red de servidores comprometidos previamente. Estos servidores alojan webs legítimas con alto tráfico donde los atacantes han modificado los contenidos del sitio e incluído links maliciosos al mencionado troyano. El hecho de que se encuentre alojado en webs legítimas hace que los usarios sean mucho más confiados a la hora de abrir esos enlaces e infectarse.

Aún no está claro cómo obtienen acceso a los sitios web para llevar a cabo las inyecciones maliciosas, pero los investigadores sospechan que los atacantes pueden haber obtenido las contraseñas instalando el malware Gootkit, comprando credenciales robadas en mercados de la deepweb o aprovechando fallos de seguridad en los complementos utilizados junto con el software del sistema de gestión de contenido

Este caso demuestra una nueva forma de reutilizar servidores comprometidos para distribuir malware.