Cybercriminalité en tant que service , Gestion de la fraude et cybercriminalité , Ransomware
Les attaquants déploient des pages Web clonées WinSCP et SpyBoy pour injecter des logiciels malveillants
Prajeet Naïr (@prajeetspeaks) •
3 juillet 2023
Le groupe BlackCat ransomware-as-a-service développe un cluster d’activités de menace en utilisant des mots-clés choisis sur les pages Web d’organisations légitimes pour déployer des logiciels malveillants.
Voir également: Webinaire en direct | Reprenez le contrôle de vos secrets – La sauce secrète pour la sécurité des secrets
Une organisation anonyme et des chercheurs de Trend Micro ont découvert des cybercriminels effectuant des activités non autorisées au sein du réseau de l’entreprise à l’aide d’une page Web clonée de WinSCP, une application Windows open source pour le transfert de fichiers ; et SpyBoy, un terminateur qui altère la protection fournie par les agents.
“Les distributeurs de logiciels malveillants abusent de la même fonctionnalité dans une technique connue sous le nom de malvertising – détourner des mots-clés pour afficher des publicités malveillantes qui incitent les utilisateurs de moteurs de recherche sans méfiance à télécharger des logiciels malveillants”, selon Trend Micro. rapport.
Les attaquants ont volé les privilèges d’administrateur de niveau supérieur et ont également tenté d’établir la persistance et l’accès par porte dérobée à l’environnement du client à l’aide d’outils de gestion à distance.
Les chercheurs ont observé des similitudes dans les tactiques utilisées dans cette campagne avec les campagnes précédentes menées par BlackCat.
“Avec d’autres types de logiciels malveillants et d’outils déjà mentionnés, nous avons pu identifier l’utilisation du terminateur SpyBoy de détection et de réponse anti-virus ou anti-endpoint dans une tentative de falsification de la protection fournie par les agents”, ont déclaré les chercheurs.
Pour exfiltrer les données, les attaquants ont utilisé le client PuTTY Secure Copy pour transférer les informations. Une enquête plus approfondie sur les domaines de commande et de contrôle utilisés par l’auteur de la menace a conduit à la découverte d’une relation possible avec le rançongiciel Clop.
Chaîne d’attaque
En utilisant des techniques d’empoisonnement SEO, des utilisateurs peu méfiants sont amenés à télécharger une application clonée contenant un logiciel malveillant.
“Le flux d’infection global implique la livraison du chargeur initial, la récupération du noyau du bot et finalement la suppression de la charge utile, généralement une porte dérobée”, ont déclaré les chercheurs.
L’application WinSCP dans ce cas contenait une porte dérobée contenant Cobalt Strike Beacon, qui permet à un serveur distant d’effectuer des opérations de suivi.
Les chercheurs ont également repéré des acteurs de la menace utilisant quelques autres outils tels que AdFind, qui est conçu pour récupérer et afficher des informations à partir d’environnements Active Directory.
“Entre les mains d’un acteur malveillant, AdFind peut être utilisé à mauvais escient pour l’énumération des comptes d’utilisateurs, l’élévation des privilèges et même l’extraction du hachage de mot de passe”, ont déclaré les chercheurs. Les acteurs malveillants ont également utilisé l’outil de gestion à distance AnyDesk dans l’environnement pour maintenir la persistance.
2023-07-04 06:11:46
1688451791
#BlackCat #utilise #publicité #malveillante #pour #pousser #porte #dérobée