Les opérateurs de BlackCat distribuent un ransomware déguisé en WinSCP

« Des acteurs malveillants ont utilisé la publicité malveillante pour distribuer un logiciel malveillant via des pages web clonées d’organisations légitimes », ont déclaré les chercheurs de Trend Micro dans une analyse publiée la semaine dernière. « Dans ce cas, la distribution a impliqué une page web de l’application bien connue WinSCP, une application Windows open-source pour le transfert de fichiers.

Le malvertising fait référence à l’utilisation de techniques d’empoisonnement du référencement pour diffuser des logiciels malveillants par le biais de la publicité en ligne. Il s’agit généralement de détourner un ensemble de mots-clés choisis (par exemple, « WinSCP Download ») pour afficher de fausses publicités sur les pages de résultats de recherche de Bing et de Google, dans le but de rediriger les utilisateurs peu méfiants vers des pages douteuses.

L’idée est d’inciter les utilisateurs qui recherchent des applications comme WinSCP à télécharger des logiciels malveillants, en l’occurrence une porte dérobée contenant une balise Cobalt Strike qui se connecte à un serveur distant pour des opérations ultérieures, tout en utilisant des outils légitimes comme AdFind pour faciliter la découverte du réseau.

L’accès offert par Cobalt Strike est ensuite utilisé de manière abusive pour télécharger un certain nombre de programmes afin de mener des opérations de reconnaissance, d’énumération (PowerView), de mouvement latéral (PsExec), de contourner les logiciels antivirus (KillAV BAT) et d’exfiltrer les données des clients (PuTTY Secure Copy client). On a également observé l’utilisation de l’outil d’évasion Terminator pour altérer les logiciels de sécurité au moyen d’une attaque BYOVD (Bring Your Own Vulnerable Driver).

Dans la chaîne d’attaque détaillée par la société de cybersécurité, les acteurs de la menace ont réussi à voler les privilèges d’administrateur de haut niveau pour mener des activités de post-exploitation et ont tenté d’accéder à des serveurs de sauvegarde et de mettre en place une persistance à l’aide d’outils de surveillance et de gestion à distance tels que AnyDesk.

« Il est très probable que l’entreprise aurait été considérablement affectée par l’attaque si une intervention avait été demandée plus tard, d’autant plus que les acteurs de la menace avaient déjà réussi à obtenir un accès initial aux privilèges d’administrateur de domaine et commencé à établir des portes dérobées et une persistance », a déclaré Trend Micro.

Malgré la nature dynamique de l’écosystème de la cybercriminalité, alors que les acteurs cybernétiques néfastes vont et viennent, et que certaines opérations s’associent, ferment ou changent de nom pour des raisons financières, le ransomware est resté une menace constante.

Il s’agit notamment de l’émergence d’un nouveau système de gestion de l’information et d’un nouveau système de gestion de l’information.
Rhysida, qui a principalement ciblé les secteurs de l’éducation, du gouvernement, de la fabrication et de la technologie en Europe occidentale, en Amérique du Nord et du Sud, ainsi qu’en Australie.

« Rhysida est un ransomware cryptographique Windows Portable Executable (PE) 64 bits compilé à l’aide de MINGW/GCC », indique SentinelOne dans une note technique. « Dans chaque échantillon analysé, le nom du programme de l’application est Rhysida-0.1, ce qui suggère que l’outil en est à ses premiers stades de développement.

« Les cryptomonnaies sont utilisées pour éviter la détection par les solutions antivirus. L’auteur du logiciel malveillant a également mis en œuvre une technique anti-débogage qui tente de détecter si un débogueur est attaché au processus, auquel cas l’exécution s’arrête », expliquent les chercheurs de SentinelOne. « Si aucun débogueur n’est détecté, l’exécution se poursuit et la charge utile est déchiffrée à partir de la mémoire à l’aide d’AES256 en mode CBC avec une clé codée en dur intégrée dans le binaire ».