Les acteurs malveillants exploitent des résultats de recherche manipulés et de fausses publicités Google qui incitent les utilisateurs cherchant à télécharger des logiciels légitimes tels que WinSCP à installer des logiciels malveillants.
La société de cybersécurité Securonix suit l’activité en cours sous le nom SEO#LURKER.
« La publicité malveillante dirige l’utilisateur vers un site Web WordPress compromis gameeweb[.]com, qui redirige l’utilisateur vers un site de phishing contrôlé par des attaquants », chercheurs en sécurité Den Iuzvyk, Tim Peck et Oleg Kolesnikov dit dans un rapport partagé avec The Hacker News.
On pense que les auteurs de la menace exploitent les annonces dynamiques du Réseau de Recherche de Google (DSA), qui génère automatiquement des publicités basées sur le contenu d’un site pour diffuser des publicités malveillantes qui redirigent les victimes vers le site infecté.
Le but ultime de cette chaîne d’attaque complexe en plusieurs étapes est d’inciter les utilisateurs à cliquer sur le faux site Web WinSCP, winccp.[.]net et téléchargez le malware.
« Trafic du gaweeweb[.]com site Web au faux winsccp[.]net repose sur un en-tête de référent correct et correctement défini », ont déclaré les chercheurs. « Si le référent est incorrect, l’utilisateur est ‘Rickrollé » et est envoyé vers la tristement célèbre vidéo YouTube de Rick Astley. «
La charge utile finale prend la forme d’un fichier ZIP (« WinSCP_v.6.1.zip ») accompagné d’un exécutable d’installation qui, une fois lancé, utilise Chargement latéral des DLL pour charger et exécuter un fichier DLL nommé python311.dll présent dans l’archive.
La DLL, pour sa part, télécharge et exécute un programme d’installation WinSCP légitime pour maintenir la ruse, tout en supprimant furtivement des scripts Python (« slv.py » et « wo15.py ») en arrière-plan pour activer le comportement malveillant. Il est également responsable de la mise en place de la persistance.
Les deux scripts Python sont conçus pour établir un contact avec un serveur contrôlé par un acteur distant afin de recevoir des instructions supplémentaires permettant aux attaquants d’exécuter des commandes d’énumération sur l’hôte.
« Étant donné que les attaquants utilisaient Google Ads pour disperser des logiciels malveillants, on peut penser que les cibles se limitent à toute personne recherchant le logiciel WinSCP », ont déclaré les chercheurs.
« Le géoblocage utilisé sur le site hébergeant le malware suggère que les personnes résidant aux États-Unis sont victimes de cette attaque. »
Ce n’est pas la première fois que les annonces dynamiques du Réseau de Recherche de Google sont utilisées à mauvais escient pour diffuser des logiciels malveillants. À la fin du mois dernier, Malwarebytes a levé le voile sur une campagne ciblant les utilisateurs recherchant PyCharm avec des liens vers un site Web piraté hébergeant un programme d’installation malveillant qui ouvre la voie au déploiement de logiciels malveillants voleurs d’informations.
La publicité malveillante a grandi est devenu populaire parmi les cybercriminels au cours des dernières années, avec de nombreuses campagnes de logiciels malveillants utilisant cette tactique d’attaque ces derniers mois.
Plus tôt cette semaine, Malwarebytes révélé une augmentation des campagnes d’écrémage de cartes de crédit en octobre 2023 qui aurait compromis des centaines de sites Web de commerce électronique dans le but de voler des informations financières en injectant des pages de paiement contrefaites convaincantes.