Il Gruppo Ransomware BlackCAT Spinge Installatori Maligni tramite Malvertising

I ricercatori di sicurezza di Trend Micro hanno scoperto che il BlackCAT, noto anche come ALPHV, sta conducendo attività pubblicitarie piene di malware per attirare le persone su siti web falsi che sembrano app legittime per il trasferimento di file WinSCP per Windows. Tuttavia, contengono installatori pieni di malware. È stato scoperto che BlackCat stava eseguendo questa campagna sulle pagine di Google e Microsoft Bing.

Il gruppo ransomware sta usando il malvertising come esca per infettare possibilmente i dispositivi di professionisti IT, amministratori di sistema e amministratori web per ottenere accesso iniziale alla rete aziendale e

Bene, WinSCP è gratuito e un client open-source per il protocollo di trasferimento file SSH, Amazon S3, WebDAV e protocollo di copia sicura (SCP) per Windows, e la funzione principale di WinSCP è trasferire file in modo sicuro dal dispositivo locale al server remoto.

Gli attacchi iniziano quando l’utente cerca il download di WinSCP su Google o Bing e poi ottiene i risultati promossi maligni che sono posizionati sopra il sito web legittimo per il download di WinSCP.

Dopo di che, il bersaglio clicca sull’annuncio maligno che lo porta al sito web maligno che li porta ai tutorial su come eseguire trasferimenti di file automatici tramite WinSCP.

Leggi: Gli Attori della Minaccia Usano un Installer di Gioco Super Mario 3 Trojanizzato per Diffondere Malware

Bene, questi siti web non contengono l’installatore maligno, possibilmente per sfuggire al rilevamento dei crawler anti-abuso di Google e Bing, reindirizzando invece i visitatori a un falso simile al legittimo WinSCP con un pulsante di download.

Come al solito, questi siti web falsi simili hanno un nome di dominio simile a quello autentico winscp.net per questo scopo, come WinSCP(dot)com.

Quando il visitatore clicca sul pulsante di download e riceve il file ISO che contiene “setup.exe” e msi.dlll. Ora il primo file è per attirare il visitatore a lanciarlo, e il secondo file è il malware attivato dagli eseguibili.

Secondo la società di cybersicurezza, una volta eseguito setup.exe, informerà il secondo file, cioè msi.dll, che estrarrà una cartella Python dalla sezione RCDATA DLL dall’installer legittimo per l’app di trasferimento file da installare nel computer personale del visitatore.

Quando l’utente esegue questa azione, installa anche un python.dll pieno di trojan e crea un processo di persistenza creando una chiave di esecuzione che è Python e il valore “C: \Users\Public\Music]python\phthonw.exe”.

L’eseguibile phthon.exe porta alla alterata e oscura python310.dll che contiene un beacon di Cobalt Strike che si connette con l’indirizzo del server di comando e controllo.

Con gli attori della minaccia che hanno Cobalt Strike in esecuzione nella macchina della vittima, diventa facile per loro eseguire più script e ottenere gli strumenti per muoversi all’interno per far crescere l’infezione.

La società di sicurezza Trend Micro ha osservato che gli attori della minaccia stanno usando questi strumenti come,

• Findstr: Strumento da riga di comando utilizzato per cercare password all’interno di file XML.

• AdFind: Strumento da riga di comando utilizzato per recuperare informazioni su Active Directory.

• Accesschk64: Questo strumento da riga di comando è utilizzato per osservare i permessi di utenti e gruppi.

• Comandi PowerShell: Questo è usato per estrarre file Zip, raccogliere dati degli utenti ed eseguire script.

• Anydesk: Questo è uno strumento remoto legittimo abusato per mantenere la persistenza.

• Script Python: Questi sono utilizzati per eseguire lo strumento di recupero password LaZagne e ottenere le credenziali di Veeam.

• KillAV BAT: Questo script è utilizzato per disabilitare e sfuggire al rilevamento da parte degli antivirus.

• PowerView: Questo script è utilizzato per osservazione ed enumerazione di Active Directory.

• PsExec, Curl e BitsAdmin: tutti questi strumenti sono utilizzati per il movimento laterale dell’infezione all’interno della rete.

• PuTTY Secure Copy: Questo client è utilizzato per esfiltrare le informazioni raccolte dalla macchina compromessa.

Non è tutto; gli attori della minaccia, insieme a tutti questi strumenti, hanno anche utilizzato SPY Termitor, un disabilitatore di ED e antivirus che gli attori della minaccia vendono nei forum di hacking russi.

I ricercatori della società di sicurezza hanno collegato le infezioni TTPS sopra menzionate al gruppo ransomware Black Cat poiché hanno anche scoperto un file di riscatto Clop in uno dei server C2 che hanno esaminato, il che significa che il gruppo potrebbe essere coinvolto in due campagne ransomware.

Leggi: Violazione Dati Massiva: Oltre 100K Account Chat GPT Rubati, Avverte Group IB