Le chargeur de malware connu sous le nom de PikaBot est distribué dans le cadre d’une campagne de publicité malveillante ciblant les utilisateurs recherchant des logiciels légitimes comme AnyDesk.
« PikaBot n’était auparavant distribué que via des campagnes de spam similaires à QakBot et est devenu l’une des charges utiles préférées d’un acteur malveillant connu sous le nom de TA577 », a déclaré Jérôme Segura de Malwarebytes. dit.
La famille des malwares, qui d’abord apparu début 2023, se compose d’un chargeur et d’un module central qui lui permet de fonctionner comme une porte dérobée ainsi que comme distributeur pour d’autres charges utiles.
Cela permet aux acteurs malveillants d’obtenir un accès à distance non autorisé aux systèmes compromis et de transmettre des commandes depuis un serveur de commande et de contrôle (C2), allant du shellcode arbitraire, des DLL ou des fichiers exécutables, à d’autres outils malveillants tels que Cobalt Strike.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
L’un des acteurs malveillants qui exploitent PikaBot dans ses attaques est TA577un acteur prolifique de la cybercriminalité qui a, dans le passé, livré QakBot, IcedID, SystemBC, SmokeLoader, Ursnif et Cobalt Strike.
Le mois dernier, il est apparu que PikaBot, ainsi que DarkGate, se propageaient via des campagnes de spam similaires à celles de QakBot. « L’infection de Pikabot a conduit à Cobalt Strike le 207.246.99[.]159:443 en utilisant masterunis[.]net comme domaine », Palo Alto Networks Unit 42 divulgué récemment.
Le dernier vecteur d’infection initial est une publicité Google malveillante pour AnyDesk qui, lorsqu’elle est cliquée par une victime à partir de la page de résultats de recherche, redirige vers un faux site Web nommé anadesky.ovmv.[.]net qui pointe vers un programme d’installation MSI malveillant hébergé sur Dropbox.
Il convient de souligner que la redirection vers le faux site Web n’a lieu qu’après avoir pris l’empreinte de la demande, et seulement si celle-ci ne provient pas d’une machine virtuelle.
« Les acteurs malveillants contournent les contrôles de sécurité de Google avec une URL de suivi via une plateforme marketing légitime pour rediriger vers leur domaine personnalisé derrière Cloudflare », a expliqué Segura. « À ce stade, seules les adresses IP propres sont transmises à l’étape suivante. »
Il est intéressant de noter qu’une deuxième série de relevés d’empreintes digitales a lieu lorsque la victime clique sur le bouton de téléchargement du site Web, probablement dans le but de s’assurer qu’il n’est pas accessible dans un environnement virtualisé.
Malwarebytes a déclaré que les attaques rappellent les chaînes de publicité malveillante précédemment identifiées et utilisées pour diffuser un autre malware de chargement connu sous le nom de FakeBat (alias EugenLoader).
« C’est particulièrement intéressant car cela indique un processus commun utilisé par différents acteurs de la menace », a déclaré Segura. « Peut-être s’agit-il de quelque chose qui s’apparente à une » publicité malveillante en tant que service « , dans laquelle des publicités Google et des pages leurres sont fournies aux distributeurs de logiciels malveillants. »
Cette divulgation intervient alors que la société de cybersécurité a déclaré avoir détecté une augmentation des publicités malveillantes via les recherches Google de logiciels populaires tels que Zoom, Advanced IP Scanner et WinSCP pour fournir un chargeur inédit appelé HiroshimaNukes ainsi que FakeBat.
« Il utilise plusieurs techniques pour contourner la détection, du chargement latéral des DLL aux charges utiles très volumineuses », Segura dit. « Son objectif est de supprimer des logiciels malveillants supplémentaires, généralement des voleurs, suivis d’une exfiltration de données. »
L’augmentation de la publicité malveillante est révélatrice de la manière dont les attaques basées sur les navigateurs agissent comme des canaux d’infiltration des réseaux cibles. Cela inclut également un nouveau cadre d’extension de Google Chrome nommé ParaSiteSnatcher, qui permet aux acteurs malveillants de « surveiller, manipuler et exfiltrer des informations hautement sensibles provenant de plusieurs sources ».
Spécialement conçue pour compromettre les utilisateurs d’Amérique latine, l’extension malveillante se distingue par son utilisation de l’API du navigateur Chrome pour intercepter et exfiltrer toutes les requêtes POST contenant des informations sensibles sur les comptes et les finances. Il est téléchargé via un téléchargeur VBScript hébergé sur Dropbox et Google Cloud et installé sur un système infecté.
« Une fois installée, l’extension se manifeste à l’aide d’autorisations étendues activées via l’extension Chrome, lui permettant de manipuler les sessions Web, les requêtes Web et de suivre les interactions des utilisateurs sur plusieurs onglets à l’aide de l’API des onglets Chrome », Trend Micro dit le mois dernier.
« Le malware comprend divers composants qui facilitent son fonctionnement, des scripts de contenu qui permettent d’injecter du code malveillant dans des pages Web, de surveiller les onglets Chrome et d’intercepter les entrées des utilisateurs et les communications du navigateur Web. »