Grupo de Ransomware BlackCAT Impulsiona Instaladores Maliciosos via Malvertising

Pesquisadores de segurança da Trend Micro descobriram que o BlackCAT, também conhecido como ALPHV, está realizando atividades publicitárias recheadas de malware para atrair pessoas a sites falsos que se parecem com aplicativos legítimos de transferência de arquivos WinSCP para Windows. No entanto, colocando instaladores recheados de malware. O BlackCat foi encontrado executando essa campanha nas páginas do Google e do Microsoft Bing.

O grupo de ransomware está usando malvertising como um atrativo para possivelmente infectar os dispositivos de profissionais de TI, administradores de sistemas e administradores da web para obter acesso inicial à rede corporativa e

Bem, o WinSCP é gratuito e um cliente de protocolo de transferência de arquivos SSH de código aberto, Amazon S3, WebDAV e protocolo de cópia segura (SCP) para Windows, e a função principal do WinSCP é transferir arquivos com segurança do dispositivo local para o servidor remoto.

Os ataques começam quando o usuário pesquisa por download do WinSCP no Google ou no Bing e, em seguida, recebe os resultados maliciosos promovidos que estão colocados acima do site legítimo de download do WinSCP.

Depois disso, o alvo clica no anúncio malicioso que o leva ao site malicioso que o direciona para os tutoriais sobre como realizar transferências automáticas de arquivos via WinSCP.

Leia: Atores de Ameaça Usam Instalador de Jogo Super Mario 3 Trojanizado para Espalhar Malware

Bem, esses sites não têm o instalador malicioso, possivelmente para escapar da detecção dos crawlers de Anti-abuso do Google e do Bing, redirecionando os visitantes para a imitação falsa do legítimo WinSCP com um botão de download.

Como de costume, esses sites falsos semelhantes têm um nome de domínio semelhante ao domínio autêntico winscp.net para esse propósito, como WinSCP(dot)com.

À medida que o visitante clica no botão de download, ele recebe o arquivo ISO que contém “setup.exe” e msi.dlll. Agora, o primeiro arquivo é para atrair o visitante a lançá-lo, e o segundo arquivo é o malware ativado pelos executáveis.

De acordo com a empresa de cibersegurança, uma vez que o setup.exe é executado, ele informará o segundo arquivo, ou seja, msi.dll, que extrairá uma pasta Python da seção RCDATA DLL do instalador legítimo para que o aplicativo de transferência de arquivos seja instalado no computador pessoal do visitante.

À medida que o usuário realiza essa ação, ele também instala um python.dll recheado de trojans e cria um processo de persistência criando uma chave de execução que é Python e o valor “C: \Users\Public\Music]python\phthonw.exe”.

O executável phthon.exe leva ao python310.dll alterado e obscuro que carrega um beacon do Cobalt Strike que se conecta ao endereço do servidor de comando e controle.

Com os atores de ameaça tendo o Cobalt Strike rodando na máquina da vítima, torna-se fácil para eles executar mais scripts e obter as ferramentas para se mover dentro e aumentar a infecção.

A empresa de segurança Trend Micro observou que os atores de ameaça estão usando essas ferramentas como,

• Findstr: Ferramenta de linha de comando usada para pesquisar senhas dentro de arquivos XML.
• AdFind: Ferramenta de linha de comando que é usada para recuperar informações do Active Directory.
• Accesschk64: Esta ferramenta de linha de comando é usada para observações de permissões de usuários e grupos.
• Comandos PowerShell: Isso é usado para extrair arquivos Zip, coletar dados do usuário e executar scripts.
• Anydesk: Esta é uma ferramenta remota legítima mal utilizada para continuar a persistência.
• Scripts Python: Estes são utilizados para executar a ferramenta de recuperação de senhas LaZagne e obter as credenciais do Veeam.
• KillAV BAT: Este script é usado para desabilitar e evadir a detecção por antivírus.
• PowerView: Este script é usado para observação e enumeração do Active Directory.
• PsExec, Curl e BitsAdmin: todas essas ferramentas são usadas para o movimento lateral da infecção dentro da rede.
• PuTTY Secure Copy: Este cliente é usado para exfiltrar as informações coletadas da máquina comprometida.

Isso não é tudo; os atores de ameaça, juntamente com todas essas ferramentas, também usaram o SPY Termitor, um desativador de ED e antivírus que os atores de ameaça vendem em fóruns de hacking russos.

Pesquisadores da empresa de segurança vincularam as infecções TTPS mencionadas acima ao grupo de ransomware Black Cat, pois também descobriram um arquivo de resgate Clop em um dos servidores C2 que analisaram, o que significa que o grupo pode estar envolvido em duas campanhas de ransomware.

Leia: Violação de Dados Maciça: Mais de 100K Contas do Chat GPT Roubadas, Alerta o Grupo IB