Des acteurs de la menace associés au rançongiciel BlackCat ont été observés en train d’utiliser des astuces de publicité malveillante pour distribuer des installateurs malveillants de l’application de transfert de fichiers WinSCP.
« Des acteurs malveillants ont utilisé la publicité malveillante pour distribuer un logiciel malveillant via des pages Web clonées d’organisations légitimes », ont déclaré les chercheurs de Trend Micro dans une analyse publiée la semaine dernière. « Dans ce cas, la distribution impliquait une page Web de l’application bien connue WinSCP, une application Windows open source pour le transfert de fichiers. »
La publicité malveillante fait référence à l’utilisation de techniques d’empoisonnement SEO pour diffuser des logiciels malveillants via la publicité en ligne. Cela implique généralement de détourner un ensemble choisi de mots-clés pour afficher de fausses publicités sur les pages de résultats de recherche Bing et Google dans le but de rediriger les utilisateurs sans méfiance vers des pages sommaires.
L’idée est d’inciter les utilisateurs à la recherche d’applications comme WinSCP à télécharger des logiciels malveillants, dans ce cas, une porte dérobée contenant une balise Cobalt Strike qui se connecte à un serveur distant pour des opérations de suivi, tout en utilisant des outils légitimes comme AdFind pour faciliter la découverte du réseau. .
L’accès offert par Cobalt Strike est en outre abusé pour télécharger un certain nombre de programmes permettant d’effectuer une reconnaissance, une énumération (PowerView), un mouvement latéral (PsExec), de contourner un logiciel antivirus (KillAV BAT) et d’exfiltrer les données des clients (client PuTTY Secure Copy). On observe également l’utilisation de l’outil d’évasion de défense Terminator pour altérer les logiciels de sécurité au moyen d’une attaque BYOVD (Bring Your Own Vulnerable Driver).
Dans la chaîne d’attaque détaillée par la société de cybersécurité, les acteurs de la menace ont réussi à voler les privilèges d’administrateur de haut niveau pour mener des activités de post-exploitation et ont tenté de mettre en place la persistance à l’aide d’outils de surveillance et de gestion à distance comme AnyDesk ainsi que d’accéder à des serveurs de sauvegarde.
« Il est fort probable que l’entreprise aurait été considérablement affectée par l’attaque si une intervention avait été demandée plus tard, d’autant plus que les acteurs de la menace avaient déjà réussi à obtenir un accès initial aux privilèges d’administrateur de domaine et avaient commencé à établir des portes dérobées et la persistance », a déclaré Trend Micro. .
Le développement n’est que le dernier exemple d’acteurs malveillants utilisant la plate-forme Google Ads pour diffuser des logiciels malveillants. En novembre 2022, Microsoft a dévoilé une campagne d’attaque qui exploite le service publicitaire pour déployer BATLOADER, qui est ensuite utilisé pour supprimer le rançongiciel Royal.
Cela survient également lorsque la société tchèque de cybersécurité Avast a publié un décrypteur gratuit pour le jeune rançongiciel Akira afin d’aider les victimes à récupérer leurs données sans avoir à payer les opérateurs. Akira, qui est apparu pour la première fois en mars 2023, a depuis élargi son empreinte cible pour inclure les systèmes Linux.
« Akira présente quelques similitudes avec le ransomware Conti v2, ce qui peut indiquer que les auteurs du malware ont au moins été inspirés par les sources Conti divulguées », ont déclaré les chercheurs d’Avast. La société n’a pas révélé comment elle avait piraté l’algorithme de cryptage du rançongiciel.
Le syndicat Conti/TrickBot, alias Gold Ulrick ou ITG23, a fermé ses portes en mai 2022 après avoir subi une série d’événements perturbateurs déclenchés par le début de l’invasion russe de l’Ukraine. Mais le groupe e-crime continue d’exister à ce jour, bien qu’en tant qu’entités plus petites et utilisant des crypteurs et une infrastructure partagés pour distribuer leurs warez.
IBM Security X-Force, dans une récente analyse approfondie, a déclaré que les crypteurs du gang, qui sont des applications conçues pour crypter et masquer les logiciels malveillants afin d’échapper à la détection par les scanners antivirus et d’entraver l’analyse, sont également utilisés pour diffuser de nouvelles souches de logiciels malveillants telles que Aresloader, Canyon , CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (anciennement Domino), Pikabot, SVCReady, Vidar.
« Auparavant, les crypteurs étaient principalement utilisés avec les principales familles de logiciels malveillants associées à ITG23 et leurs proches partenaires », ont déclaré les chercheurs en sécurité Charlotte Hammond et Ole Villadsen. « Cependant, la fracture d’ITG23 et l’émergence de nouvelles factions, relations et méthodes ont affecté la manière dont les crypteurs sont utilisés. »
Malgré la nature dynamique de l’écosystème de la cybercriminalité, alors que des cyberacteurs néfastes vont et viennent et que certaines opérations s’associent, arrêtent ou renomment leurs programmes à motivation financière, les ransomwares continuent d’être une menace constante.
Cela inclut l’émergence d’un nouveau groupe de rançongiciels en tant que service (RaaS) appelé Rhysida, qui a principalement ciblé les secteurs de l’éducation, du gouvernement, de la fabrication et de la technologie en Europe occidentale, en Amérique du Nord et du Sud et en Australie.
« Rhysida est une application de ransomware cryptographique Windows exécutable portable (PE) 64 bits compilée à l’aide de MINGW/GCC », a déclaré SentinelOne dans un article technique. « Dans chaque échantillon analysé, le nom du programme de l’application est défini sur Rhysida-0.1, ce qui suggère que l’outil en est aux premiers stades de développement. »
