BlackCAT Ransomware-Gruppe verbreitet bösartige Installer über Malvertising

Sicherheitsforscher von Trend Micro haben entdeckt, dass die BlackCAT, auch bekannt als ALPHV, bösartige Werbeaktivitäten durchführt, um Menschen auf gefälschte Websites zu locken, die wie legitime WinSCP-Dateiübertragungsanwendungen für Windows aussehen. Allerdings werden bösartige Installer bereitgestellt. BlackCat wurde dabei entdeckt, wie sie diese Kampagne auf Google- und Microsoft Bing-Seiten durchführt.

Die Ransomware-Gruppe nutzt Malvertising als Köder, um möglicherweise die Geräte von IT-Profis, Systemadministratoren und Webadministratoren zu infizieren, um ersten Zugang zum Unternehmensnetzwerk zu erhalten und

Nun, WinSCP ist ein kostenloses und Open-Source-SSH-Dateiübertragungsprotokoll, Amazon S3, WebDAV und sicherer Kopierprotokoll-Client (SCP) für Windows, und die Hauptfunktion von WinSCP besteht darin, Dateien sicher vom lokalen Gerät auf den Remote-Server zu übertragen.

Die Angriffe beginnen, wenn der Benutzer nach dem WinSCP-Download auf Google oder Bing sucht und dann die beworbenen bösartigen Ergebnisse erhält, die über der legitimen WinSCP-Download-Website platziert sind.

Danach klickt das Ziel auf die bösartige Werbung, die sie auf die bösartige Website führt, die sie zu den Tutorials über die Durchführung automatischer Dateiübertragungen über WinSCP führt.

Lesen: Bedrohungsakteure verwenden trojanisierte Super Mario 3-Spielinstaller zur Verbreitung von Malware

Nun, diese Websites enthalten nicht den bösartigen Installer, möglicherweise um der Erkennung durch die Anti-Missbrauch-Crawler von Google und Bing zu entkommen, sondern leiten die Besucher stattdessen zu dem gefälschten Abbild der legitimen WinSCP mit einem Download-Button weiter.

Wie gewohnt haben diese gefälschten Abbild-Websites einen ähnlichen Domainnamen wie die authentische winscp.net-Domain zu diesem Zweck, wie WinSCP(dot)com.

Wenn der Besucher auf den Download-Button klickt, erhält er die ISO-Datei, die “setup.exe” und msi.dlll enthält. Die erste Datei soll den Besucher dazu verleiten, sie zu starten, und die zweite Datei ist die Malware, die durch die ausführbaren Dateien aktiviert wird.

Laut dem Cybersicherheitsunternehmen wird, sobald setup.exe ausgeführt wird, die zweite Datei, d.h. msi.dll, informiert, die einen Python-Ordner aus dem DLL RCDATA-Bereich des legitimen Installers für die Dateiübertragungsanwendung extrahiert, um auf dem Computer des Besuchers installiert zu werden.

Wenn der Benutzer diese Aktion ausführt, wird auch eine trojanerbeladene python.dll installiert und ein Persistenzprozess erstellt, indem ein Ausführungs-Schlüssel erstellt wird, der Python heißt und den Wert “C: \Users\Public\Music]python\phthonw.exe” hat.

Die ausführbare Datei phthon.exe führt zu der veränderten, obskuren python310.dll, die ein Cobalt Strike-Beacon trägt, das sich mit der Adresse des Command-and-Control-Servers verbindet.

Bedrohungsakteure, die Cobalt Strike auf dem Opfergerät ausführen, können dann leichter weitere Skripte ausführen und die Werkzeuge nutzen, um sich innerhalb des Netzwerks auszubreiten und die Infektion zu vergrößern.

Das Sicherheitsunternehmen Trend Micro beobachtete, dass die Bedrohungsakteure diese Werkzeuge verwenden, wie:

• Findstr: Befehlszeilenwerkzeug zum Suchen von Passwörtern in XML-Dateien.
• AdFind: Befehlszeilenwerkzeug, das zum Abrufen von Active Directory-Informationen verwendet wird.
• Accesschk64: Dieses Befehlszeilenwerkzeug wird zur Beobachtung von Benutzer- und Gruppenberechtigungen verwendet.
• PowerShell-Befehle: Diese werden zum Extrahieren von Zip-Dateien, Sammeln von Benutzerdaten und Ausführen von Skripten verwendet.
• Anydesk: Dies ist ein legitimes Fernsteuerungswerkzeug, das missbraucht wird, um die Persistenz aufrechtzuerhalten.
• Python-Skripte: Diese werden verwendet, um das LaZagne-Passwort-Wiederherstellungstool auszuführen und die Veeam-Anmeldeinformationen zu erhalten.
• KillAV BAT: Dieses Skript wird verwendet, um die Erkennung durch Antivirenprogramme zu deaktivieren und zu umgehen.
• PowerView: Dieses Skript wird zur Beobachtung und Enumeration von Active Directory verwendet.
• PsExec, Curl und BitsAdmin: All diese Werkzeuge werden für die laterale Bewegung der Infektion innerhalb des Netzwerks verwendet.
• PuTTY Secure Copy: Dieser Client wird verwendet, um die gesammelten Informationen von der kompromittierten Maschine zu exfiltrieren.

Das ist noch nicht alles; die Bedrohungsakteure verwendeten neben all diesen Werkzeugen auch den SPY Termitor, einen ED- und Antiviren-Deaktivierer, den Bedrohungsakteure in russischen Hackerforen verkaufen.

Forscher des Sicherheitsunternehmens verknüpften die oben genannten TTPS-Infektionen mit der Black Cat Ransomware-Gruppe, da sie auch eine Clop-Ransomware-Datei auf einem der C2-Server entdeckten, die sie untersucht haben, was bedeutet, dass die Gruppe möglicherweise an zwei Ransomware-Kampagnen beteiligt sein könnte.

Lesen: Massive Datenpanne: Über 100.000 Chat GPT-Konten gestohlen, warnt Group IB