BlackCAT Ransomware Group impulsa instaladores maliciosos a través de publicidad maliciosa

Estás leyendo la publicación: BlackCAT Ransomware Group impulsa instaladores maliciosos a través de publicidad maliciosa

investigadores de seguridad en Tendencia Micro descubrió que BlackCAT, también conocido como ALPHV, está ejecutando actividades publicitarias llenas de malware para atraer a las personas a sitios web falsos que parecen aplicaciones legítimas de transferencia de archivos WinSCP para Windows. Sin embargo, instalar instaladores llenos de malware. Se encontró a BlackCat ejecutando esta campaña en las páginas de Google y Microsoft Bing.

El grupo de ransomware está utilizando la publicidad maliciosa como señuelo para posiblemente infectar los dispositivos de los profesionales de TI, administradores de sistemas y administradores web para obtener acceso inicial a la red corporativa y

Bueno, WinSCP es gratuito y es un protocolo de transferencia de archivos SSH de código abierto, Amazon S3, WebDAV y un cliente de protocolo de copia segura (SCP) para Windows, y la función principal de WinSCP es transferir archivos de forma segura desde el dispositivo local al servidor remoto.

Los ataques comienzan cuando el usuario busca la descarga de WinSCP en Google o Bing y luego obtiene los resultados maliciosos promocionados que se colocan encima del sitio web legítimo de descarga de WinSCP.

Después de eso, el objetivo hace clic en el anuncio malicioso que lo lleva al sitio web malicioso que lo lleva a los tutoriales sobre cómo realizar transferencias automáticas de archivos a través de WinSCP.

Leer: Los actores de amenazas utilizan el instalador troyano del juego Super Mario 3 para difundir malware

BlackCAT Ransomware Group impulsa instaladores maliciosos a través de publicidad maliciosa 1Promoción de sitios web falsos mediante anuncios llenos de malware (a través de Trend Micro)

Bueno, estos sitios web no utilizan un instalador malicioso, posiblemente para escapar de la detección de los rastreadores anti-abuso de Google y Bing, sino que redirigen a los visitantes a una copia falsa del WinSCP legítimo con un botón de descarga.

🔥 Recomendado:  El propietario de la marca Taco Bell y KFC sufre un ataque de ransomware

Como es habitual, estos sitios web falsos tienen un nombre de dominio similar al dominio winscp.net auténtico para ese propósito, como WinSCP(punto)com.

BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 2BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 2Sitio web falso de descarga de WinSCP (a través de Trend Micro)

Cuando el visitante hace clic en el botón de descarga y recibe el archivo ISO que contiene “setup.exe” y msi.dlll. Ahora el primer archivo es para atraer al visitante a que lo inicie, y el segundo archivo es el malware activado por los ejecutables.

Según la empresa de ciberseguridad, una vez que se realiza setup.exe, informará al segundo archivo, es decir, msi.dll, que extraerá una carpeta Python de la sección DLL RCDATA del instalador legítimo para que se instale la aplicación de transferencia de archivos. en el ordenador personal del visitante.

BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 3BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 3Manipulación del registro para iniciar la persistencia (a través de Trend Micro)

A medida que el usuario realiza esta acción, también instala un python.dll lleno de troyanos y crea un proceso de persistencia creando una clave de ejecución que es Python y el valor “C: \Users\Public\Music]python\phthonw.exe”.

El ejecutable phthon.exe lleva al oscuro python310.dll alterado que lleva una baliza Cobalt Strike que se conecta con la dirección del servidor de comando y control.

BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 4BlackCAT Ransomware Group impulsa instaladores maliciosos a través de Malvertising 4Cadena de ataque completa. (a través de Trend Micro)

Cuando los actores de amenazas tienen Cobalt Strike ejecutándose en la máquina víctima, les resulta fácil ejecutar más scripts y obtener las herramientas para moverse dentro y hacer crecer la infección.

La firma de seguridad Trend Micro observó que los actores de amenazas están utilizando estas herramientas como,

  • Buscartr: herramienta de línea de comandos utilizada para buscar contraseñas dentro de archivos XML.
  • Búsqueda de anuncios: herramienta de línea de comandos que se utiliza para recuperar información de Active Directory.
  • Accesochk64: Esta herramienta de línea de comando se utiliza para observaciones de permisos de usuarios y grupos.
  • Comandos de PowerShell: Se utiliza para extraer archivos Zip, recopilar datos del usuario y ejecutar scripts.
  • cualquier escritorio: Esta es una herramienta remota legítima que se utiliza indebidamente para continuar con la persistencia.
  • secuencias de comandos de Python: Se utilizan para ejecutar la herramienta de recuperación de contraseñas de LaZagne y obtener las credenciales de Veeam.
  • KillAV BAT: Este script se utiliza para deshabilitar y evadir la detección del antivirus.
  • PowerView: Este script se utiliza para la observación y enumeración de Active Directory.
  • PsExec, Curl y BitsAdmin: todas estas herramientas se utilizan para el movimiento lateral de la infección dentro de la red.
  • Copia segura de PuTTY: Este cliente se utiliza para extraer la información recopilada de la máquina comprometida.
🔥 Recomendado:  La importancia del diseño móvil primero

Eso no es todo; Los actores de amenazas, junto con todas estas herramientas, también utilizaron SPY Termitor, un ED y un desactivador de antivirus que los actores de amenazas venden en los foros de piratería rusos.

Los investigadores de la empresa de seguridad vincularon las infecciones TTPS mencionadas anteriormente con el grupo de ransomware Black Cat, ya que también descubrieron un archivo de rescate Clop en uno de los servidores C2 que investigaron, lo que significa que el grupo podría estar involucrado en dos campañas de ransomware.

Leer: Violación masiva de datos: más de 100.000 cuentas de chat GPT robadas, advierte Group IB