Le groupe de ransomware BlackCAT pousse des installateurs malveillants via le malvertising

Les chercheurs en sécurité de Trend Micro ont découvert que BlackCAT, également connu sous le nom d’ALPHV, mène des activités publicitaires remplies de logiciels malveillants pour inciter les gens à visiter de faux sites Web qui ressemblent à de véritables applications de transfert de fichiers WinSCP pour Windows. Cependant, ils contiennent des installateurs remplis de logiciels malveillants. BlackCat a été trouvé en train de mener cette campagne sur les pages Google et Microsoft Bing.

Le groupe de ransomware utilise le malvertising comme appât pour potentiellement infecter les appareils des professionnels de l’informatique, des administrateurs système et des administrateurs web afin d’obtenir un accès initial au réseau d’entreprise.

Eh bien, WinSCP est un client gratuit et open-source pour le protocole de transfert de fichiers SSH, Amazon S3, WebDAV et le protocole de copie sécurisée (SCP) pour Windows, et la fonction principale de WinSCP est de transférer des fichiers en toute sécurité de l’appareil local vers le serveur distant.

Les attaques commencent lorsque l’utilisateur recherche le téléchargement de WinSCP sur Google ou Bing, puis obtient les résultats malveillants promus qui sont placés au-dessus du site Web de téléchargement légitime de WinSCP.

Après cela, la cible clique sur la publicité malveillante qui les dirige vers le site Web malveillant qui les mène à des tutoriels sur la façon d’effectuer des transferts de fichiers automatiques via WinSCP.

Lire : Les acteurs de la menace utilisent un installateur de jeu Super Mario 3 trojanisé pour propager des logiciels malveillants

Eh bien, ces sites Web ne contiennent pas l’installateur malveillant, probablement pour échapper à la détection des crawlers anti-abus de Google et Bing, redirigeant plutôt les visiteurs vers une imitation trompeuse du véritable WinSCP avec un bouton de téléchargement.

Comme d’habitude, ces faux sites ressemblants ont un nom de domaine similaire à celui du domaine authentique winscp.net à cette fin, comme WinSCP(dot)com.

Lorsque le visiteur clique sur le bouton de téléchargement, il reçoit le fichier ISO qui contient “setup.exe” et msi.dlll. Maintenant, le premier fichier est destiné à inciter le visiteur à le lancer, et le deuxième fichier est le malware activé par les exécutables.

Selon la société de cybersécurité, une fois que setup.exe est exécuté, il informera le deuxième fichier, c’est-à-dire msi.dll, qui extraira un dossier Python de la section RCDATA DLL de l’installateur légitime pour que l’application de transfert de fichiers soit installée sur l’ordinateur personnel du visiteur.

Lorsque l’utilisateur effectue cette action, il installe également un python.dll rempli de trojans et crée un processus de persistance en créant une clé de démarrage qui est Python et la valeur “C: \Users\Public\Music]python\phthonw.exe”.

L’exécutable phthon.exe mène à l’obscur python310.dll modifié qui contient un beacon Cobalt Strike qui se connecte à l’adresse du serveur de commande et de contrôle.

Les acteurs de la menace ayant Cobalt Strike en cours d’exécution sur la machine de la victime, il leur devient facile d’exécuter plus de scripts et d’obtenir les outils pour se déplacer à l’intérieur afin d’accroître l’infection.

La société de sécurité Trend Micro a observé que les acteurs de la menace utilisent ces outils tels que,

• Findstr : Outil en ligne de commande utilisé pour rechercher des mots de passe dans des fichiers XML.

• AdFind : Outil en ligne de commande utilisé pour récupérer des informations sur Active Directory.

• Accesschk64 : Cet outil en ligne de commande est utilisé pour observer les permissions des utilisateurs et des groupes.

• Commandes PowerShell : Utilisées pour extraire des fichiers Zip, collecter des données utilisateur et exécuter des scripts.

• Anydesk : Outil à distance légitime détourné pour maintenir la persistance.

• Scripts Python : Utilisés pour exécuter l’outil de récupération de mots de passe LaZagne et obtenir les identifiants Veeam.

• KillAV BAT : Ce script est utilisé pour désactiver et éviter la détection par les antivirus.

• PowerView : Ce script est utilisé pour l’observation et l’énumération d’Active Directory.

• PsExec, Curl et BitsAdmin : tous ces outils sont utilisés pour le mouvement latéral de l’infection au sein du réseau.

• PuTTY Secure Copy : Ce client est utilisé pour exfiltrer les informations recueillies depuis la machine compromise.

Ce n’est pas tout ; les acteurs de la menace, en plus de tous ces outils, ont également utilisé le SPY Termitor, un désactivateur d’ED et d’antivirus que les acteurs de la menace vendent sur des forums de piratage russes.

Les chercheurs de la société de sécurité ont lié les infections TTPS mentionnées ci-dessus au groupe de ransomware Black Cat, car ils ont également découvert un fichier de rançon Clop dans l’un des serveurs C2 qu’ils ont examinés, ce qui signifie que le groupe pourrait être impliqué dans deux campagnes de ransomware.

Lire : Violation massive de données : Plus de 100K comptes Chat GPT volés, avertit Group IB