Группа-вымогатель BlackCAT распространяет вредоносные установщики через малвертизинг

Исследователи безопасности компании Trend Micro обнаружили, что BlackCAT, также известная как ALPHV, проводит рекламные кампании с вредоносным ПО, чтобы заманить людей на фальшивые веб-сайты, которые выглядят как легитимные приложения для передачи файлов WinSCP для Windows. Однако они содержат установщики с вредоносным ПО. BlackCat была замечена, проводя эту кампанию на страницах Google и Microsoft Bing.

Группа-вымогатель использует малвертизинг в качестве приманки, чтобы, возможно, заразить устройства ИТ-специалистов, системных администраторов и веб-администраторов, чтобы получить первоначальный доступ к корпоративной сети.

Что ж, WinSCP — это бесплатный и открытый клиент протокола передачи файлов SSH, Amazon S3, WebDAV и протокола безопасной копии (SCP) для Windows, и основная функция WinSCP — безопасная передача файлов с локального устройства на удаленный сервер.

Атаки начинаются, когда пользователь ищет загрузку WinSCP в Google или Bing и затем получает рекламируемые вредоносные результаты, которые размещены выше легитимного веб-сайта загрузки WinSCP.

После этого цель нажимает на вредоносную рекламу, которая перенаправляет их на вредоносный веб-сайт, где они находят учебные материалы о том, как выполнять автоматическую передачу файлов через WinSCP.

Читать: Угрожающее поведение: злоумышленники используют троянский установщик игры Super Mario 3 для распространения вредоносного ПО

Эти веб-сайты не содержат вредоносного установщика, возможно, чтобы избежать обнаружения антипиратскими краулерами Google и Bing, вместо этого перенаправляя посетителей на фальшивую копию легитимного WinSCP с кнопкой загрузки.

Как обычно, эти фальшивые сайты имеют похожее доменное имя на аутентичное доменное имя winscp.net, например, WinSCP(dot)com.

Когда посетитель нажимает на кнопку загрузки, он получает ISO-файл, который содержит “setup.exe” и msi.dlll. Первый файл предназначен для того, чтобы заманить посетителя в его запуск, а второй файл — это вредоносное ПО, активируемое исполняемыми файлами.

Согласно данным кибербезопасности, как только setup.exe выполняется, он уведомляет второй файл, т.е. msi.dll, который извлечет папку Python из секции RCDATA DLL из легитимного установщика для установки приложения передачи файлов на персональный компьютер посетителя.

Когда пользователь выполняет это действие, он также устанавливает троянский python.dll и создает процесс постоянства, создавая ключ запуска, который называется Python и имеет значение “C: \Users\Public\Music]python\phthonw.exe”.

Исполняемый файл phthon.exe обращается к измененному неясному python310.dll, который содержит маяк Cobalt Strike, который соединяется с адресом сервера командования и управления.

Злоумышленники, имея Cobalt Strike, работающий на машине жертвы, могут легко запускать дополнительные скрипты и получать инструменты для перемещения внутри сети, чтобы расширить инфекцию.

Компания Trend Micro наблюдала, что злоумышленники используют такие инструменты, как:

• Findstr: инструмент командной строки, используемый для поиска паролей в XML-файлах.

• AdFind: инструмент командной строки, который используется для получения информации об Active Directory.

• Accesschk64: этот инструмент командной строки используется для наблюдения за правами пользователей и групп.

• Команды PowerShell: используются для извлечения Zip-файлов, сбора данных пользователей и выполнения скриптов.

• Anydesk: это легитимный удаленный инструмент, неправомерно используемый для поддержания постоянства.

• Python-скрипты: используются для выполнения инструмента восстановления паролей LaZagne и получения учетных данных Veeam.

• KillAV BAT: этот скрипт используется для отключения и уклонения от обнаружения антивирусом.

• PowerView: этот скрипт используется для наблюдения и перечисления Active Directory.

• PsExec, Curl и BitsAdmin: все эти инструменты используются для латерального перемещения инфекции внутри сети.

• PuTTY Secure Copy: этот клиент используется для эксфильтрации собранной информации с скомпрометированной машины.

Это еще не все; злоумышленники, наряду со всеми этими инструментами, также использовали SPY Termitor, ED и отключатель антивируса, который злоумышленники продают на российских хакерских форумах.

Исследователи безопасности связали вышеупомянутые TTPS-инфекции с группой-вымогателем Black Cat, так как они также обнаружили файл вымогательства Clop на одном из C2-серверов, которые они исследовали, что означает, что группа может быть вовлечена в две кампании по вымогательству.

Читать: Масштабная утечка данных: более 100K учетных записей Chat GPT украдено, предупреждает Group IB