- Actualités
- >cybersécurité
Les utilisateurs de WinSCP exposés à des logiciels malveillants à travers les publicités Google
- par Kenan
- , Publié le 18 novembre 2023
- , à18 h 29 min
Les acteurs de la menace utilisent des résultats de recherche manipulés et de fausses annonces Google pour tromper les utilisateurs qui cherchent à télécharger un logiciel légitime tel que WinSCP et à installer un logiciel malveillant à la place.
La société de cybersécurité Securonix suit cette activité sous le nom de SEO#LURKER.
« La publicité malveillante dirige l’utilisateur vers un site web WordPress compromis gameeweb[.]com, qui redirige l’utilisateur vers un site d’hameçonnage contrôlé par l’attaquant », ont déclaré les chercheurs en sécurité Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans un rapport partagé avec The Hacker News.
Les auteurs de la menace utiliseraient les annonces de recherche dynamiques (DSA) de Google, qui génèrent automatiquement des annonces basées sur le contenu d’un site, pour diffuser les annonces malveillantes qui redirigent les victimes vers le site infecté.
Le but ultime de cette chaîne d’attaque complexe en plusieurs étapes est d’inciter les utilisateurs à cliquer sur le faux site web WinSCP, winccp[.]net, et à télécharger le logiciel malveillant.
« Le trafic entre le site web gaweeweb[.]com et le faux site web winsccp[.]net dépend de l’exactitude de l’en-tête referrer », expliquent les chercheurs. « Si le référent est incorrect, l’utilisateur est ‘Rickrolled’ et est envoyé vers la tristement célèbre vidéo de Rick Astley sur YouTube.
La charge utile finale prend la forme d’un fichier ZIP (« WinSCP_v.6.1.zip ») accompagné d’un exécutable d’installation qui, une fois lancé, utilise le chargement latéral de DLL pour charger et exécuter un fichier DLL nommé python311.dll présent dans l’archive.
La DLL, pour sa part, télécharge et exécute un programme d’installation WinSCP légitime pour maintenir la ruse, tout en déposant furtivement des scripts Python (« slv.py » et « wo15.py ») en arrière-plan pour activer le comportement malveillant. Il est également responsable de la mise en place de la persistance. Les deux scripts Python sont conçus pour établir un contact avec un serveur contrôlé par un acteur distant et recevoir des instructions supplémentaires qui permettent aux attaquants d’exécuter des commandes d’énumération sur la machine hôte. »Malwarebytes a révélé une recrudescence des campagnes d’écrémage de cartes de crédit en octobre 2023. On estime que des centaines de sites de commerce électronique ont été compromis dans le but de voler des informations financières en injectant des pages de paiement contrefaites convaincantes la publicité a gagné en popularité parmi les cybercriminels ces dernières années de nombreuses campagnes de logiciels malveillants utilisant des attaques tactiques ces derniers mois signez gratuitement commencez à recevoir votre dose quotidienne d’informations et de conseils sur la cybersécurité