Une campagne de publicité malveillante exploite les installateurs de chevaux de Troie pour des logiciels populaires tels que Google Chrome et Microsoft Teams pour supprimer une porte dérobée appelée Oyster (alias Broomstick et CleanUpLoader).
C’est selon résultats de Rapid7, qui a identifié des sites Web similaires hébergeant les charges utiles malveillantes vers lesquelles les utilisateurs sont redirigés après les avoir recherchés sur des moteurs de recherche comme Google et Bing.
Les auteurs de la menace attirent les utilisateurs sans méfiance vers de faux sites Web prétendant contenir des logiciels légitimes. Mais tenter de télécharger le binaire d’installation lance à la place une chaîne d’infection par des logiciels malveillants.
Plus précisément, l’exécutable sert de chemin pour une porte dérobée appelée Oyster, capable de collecter des informations sur l’hôte compromis, de communiquer avec une adresse de commande et de contrôle (C2) codée en dur et de prendre en charge l’exécution de code à distance.
Alors qu’Oyster a été observé dans le passé en train d’être livré au moyen d’un composant de chargement dédié connu sous le nom de Broomstick Loader (alias Oyster Installer), les dernières chaînes d’attaque impliquent le déploiement direct de la porte dérobée. Le malware serait associé à ITG23un groupe lié à la Russie à l’origine du malware TrickBot.
L’exécution du logiciel malveillant est suivie de l’installation du logiciel Microsoft Teams légitime afin de tenter de maintenir la ruse et d’éviter de déclencher des signaux d’alarme. Rapid7 a déclaré avoir également observé que le logiciel malveillant était utilisé pour générer un script PowerShell chargé de configurer la persistance sur le système.
La divulgation intervient alors qu’un groupe de cybercriminalité connu sous le nom de Rogue Raticate (alias RATicate) a été attribué à une campagne de phishing par courrier électronique qui utilise des leurres PDF pour inciter les utilisateurs à cliquer sur une URL malveillante et à fournir NetSupport RAT.
« Si un utilisateur est amené à cliquer sur l’URL, il sera dirigé via un système de distribution de trafic (TDS) vers le reste de la chaîne et, à la fin, l’outil d’accès à distance NetSupport sera déployé sur sa machine », Symantec dit.
Cela coïncide également avec l’émergence d’une nouvelle plate-forme de phishing en tant que service (PhaaS), appelée ONNX Store, qui permet aux clients d’orchestrer des campagnes de phishing à l’aide de codes QR intégrés dans des pièces jointes PDF qui conduisent les victimes vers des pages de collecte d’informations d’identification.
ONNX Store, qui propose également des services d’hébergement Bulletproof et RDP via un robot Telegram, serait une version renommée du kit de phishing Caffeine, qui a été documenté pour la première fois par Mandiant, propriété de Google, en octobre 2022, le service étant géré par un fournisseur arabe. acteur menaçant parlant nommé MRxC0DER.
En plus d’utiliser les mécanismes anti-bot de Cloudflare pour échapper à la détection par les scanners de sites Web de phishing, les URL distribuées via le campagnes de quishing sont intégrés avec du JavaScript crypté qui est décodé lors du chargement de la page afin de collecter les métadonnées réseau des victimes et de relayer les jetons 2FA.
« ONNX Store dispose d’un mécanisme de contournement d’authentification à deux facteurs (2FA) qui intercepte [two-factor authentication] demandes des victimes », Arda Büyükkaya, chercheuse chez EclecticIQ dit. « Les pages de phishing ressemblent à de véritables interfaces de connexion Microsoft 365, incitant les cibles à saisir leurs informations d’authentification. »