Des acteurs de la menace associ\u00e9s au ran\u00e7ongiciel BlackCat ont \u00e9t\u00e9 observ\u00e9s en train d’utiliser des astuces de publicit\u00e9 malveillante pour distribuer des installateurs malveillants de l’application de transfert de fichiers WinSCP.<\/p>\n
“Des acteurs malveillants ont utilis\u00e9 la publicit\u00e9 malveillante pour diffuser un logiciel malveillant via des pages Web clon\u00e9es d’organisations l\u00e9gitimes”, ont d\u00e9clar\u00e9 des chercheurs de Trend Micro. a dit<\/a> dans une analyse publi\u00e9e la semaine derni\u00e8re. “Dans ce cas, la distribution impliquait une page Web de l’application bien connue WinSCP, une application Windows open source pour le transfert de fichiers.”<\/p>\n Publicit\u00e9 malveillante fait r\u00e9f\u00e9rence<\/a> \u00e0 l’utilisation de Techniques d’empoisonnement SEO<\/a> pour propager des logiciels malveillants via la publicit\u00e9 en ligne. Cela implique g\u00e9n\u00e9ralement de d\u00e9tourner un ensemble choisi de mots-cl\u00e9s pour afficher de fausses publicit\u00e9s sur les pages de r\u00e9sultats de recherche Bing et Google dans le but de rediriger les utilisateurs sans m\u00e9fiance vers des pages sommaires.<\/p>\n L’id\u00e9e est d’inciter les utilisateurs \u00e0 la recherche d’applications telles que WinSCP \u00e0 t\u00e9l\u00e9charger des logiciels malveillants, dans ce cas, une porte d\u00e9rob\u00e9e contenant un Balise de frappe cobalt<\/a> qui se connecte \u00e0 un serveur distant pour les op\u00e9rations de suivi, tout en utilisant des outils l\u00e9gitimes comme AdFind pour faciliter la d\u00e9couverte du r\u00e9seau.<\/p>\n L’acc\u00e8s offert par Cobalt Strike est en outre abus\u00e9 pour t\u00e9l\u00e9charger un certain nombre de programmes permettant d’effectuer une reconnaissance, une \u00e9num\u00e9ration (PowerView), un mouvement lat\u00e9ral (PsExec), de contourner un logiciel antivirus (KillAV BAT) et d’exfiltrer les donn\u00e9es des clients (client PuTTY Secure Copy). On observe \u00e9galement l’utilisation du Terminateur<\/a> outil d’\u00e9vasion de la d\u00e9fense pour alt\u00e9rer les logiciels de s\u00e9curit\u00e9 au moyen d’une attaque BYOVD (Bring Your Own Vulnerable Driver).<\/p>\n Dans la cha\u00eene d’attaque d\u00e9taill\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, les acteurs de la menace ont r\u00e9ussi \u00e0 voler les privil\u00e8ges d’administrateur de haut niveau pour mener des activit\u00e9s de post-exploitation et ont tent\u00e9 de mettre en place la persistance \u00e0 l’aide d’outils de surveillance et de gestion \u00e0 distance comme AnyDesk ainsi que d’acc\u00e9der \u00e0 des serveurs de sauvegarde.<\/p>\n “Il est fort probable que l’entreprise aurait \u00e9t\u00e9 consid\u00e9rablement affect\u00e9e par l’attaque si une intervention avait \u00e9t\u00e9 demand\u00e9e plus tard, d’autant plus que les acteurs de la menace avaient d\u00e9j\u00e0 r\u00e9ussi \u00e0 obtenir un acc\u00e8s initial aux privil\u00e8ges d’administrateur de domaine et avaient commenc\u00e9 \u00e0 \u00e9tablir des portes d\u00e9rob\u00e9es et la persistance”, a d\u00e9clar\u00e9 Trend Micro. .<\/p>\n Le d\u00e9veloppement n’est que le dernier exemple d’acteurs malveillants utilisant la plate-forme Google Ads pour diffuser des logiciels malveillants. En novembre 2022, Microsoft a d\u00e9voil\u00e9 une campagne d’attaque qui exploite le service publicitaire pour d\u00e9ployer BATLOADER, qui est ensuite utilis\u00e9 pour supprimer le ran\u00e7ongiciel Royal.<\/p>\n Il s’agit \u00e9galement de la soci\u00e9t\u00e9 tch\u00e8que de cybers\u00e9curit\u00e9 Avast lib\u00e9r\u00e9<\/a> un d\u00e9crypteur gratuit pour le jeune ran\u00e7ongiciel Akira pour aider les victimes \u00e0 r\u00e9cup\u00e9rer leurs donn\u00e9es sans avoir \u00e0 payer les op\u00e9rateurs. Akira, qui est apparu pour la premi\u00e8re fois en mars 2023, a depuis \u00e9largi son empreinte cible<\/a> pour inclure les syst\u00e8mes Linux.<\/p>\n “Akira pr\u00e9sente quelques similitudes avec le ransomware Conti v2, ce qui peut indiquer que les auteurs du malware ont au moins \u00e9t\u00e9 inspir\u00e9s par les sources Conti divulgu\u00e9es”, ont d\u00e9clar\u00e9 les chercheurs d’Avast. La soci\u00e9t\u00e9 n’a pas r\u00e9v\u00e9l\u00e9 comment elle avait pirat\u00e9 l’algorithme de cryptage du ran\u00e7ongiciel.<\/p>\n Le syndicat Conti\/TrickBot, alias Gold Ulrick ou ITG23, a ferm\u00e9 ses portes en mai 2022 apr\u00e8s avoir subi une s\u00e9rie d’\u00e9v\u00e9nements perturbateurs d\u00e9clench\u00e9s par le d\u00e9but de l’invasion russe de l’Ukraine. Mais le groupe e-crime continue d’exister \u00e0 ce jour, bien qu’en tant qu’entit\u00e9s plus petites et utilisant des crypteurs et une infrastructure partag\u00e9s pour distribuer leurs warez.<\/p>\n IBM Security X-Force, dans une r\u00e9cente analyse approfondie, a d\u00e9clar\u00e9 que les crypteurs du gang, qui sont des applications con\u00e7ues pour crypter et masquer les logiciels malveillants afin d’\u00e9chapper \u00e0 la d\u00e9tection par les scanners antivirus et entraver l’analyse, sont \u00e9galement utilis\u00e9s pour diffuser de nouvelles souches de logiciels malveillants telles que Aresloader, Canyon , CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (anciennement Domino), Pikabot, SVCReady, Vidar.<\/p>\n “Auparavant, les crypteurs \u00e9taient principalement utilis\u00e9s avec les principales familles de logiciels malveillants associ\u00e9es \u00e0 ITG23 et leurs proches partenaires”, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Charlotte Hammond et Ole Villadsen. a dit<\/a>. “Cependant, la fracture d’ITG23 et l’\u00e9mergence de nouvelles factions, relations et m\u00e9thodes ont affect\u00e9 la mani\u00e8re dont les crypteurs sont utilis\u00e9s.”<\/p>\n Malgr\u00e9 la nature dynamique de l’\u00e9cosyst\u00e8me de la cybercriminalit\u00e9, alors que des cyberacteurs n\u00e9fastes vont et viennent et que certaines op\u00e9rations s’associent, arr\u00eatent ou renomment leurs programmes \u00e0 motivation financi\u00e8re, les ransomwares continuent d’\u00eatre une menace constante.<\/p>\n Cela inclut l’\u00e9mergence d’un nouveau groupe de ran\u00e7ongiciels en tant que service (RaaS) appel\u00e9 Rhysida, qui a principalement cibl\u00e9 les secteurs de l’\u00e9ducation, du gouvernement, de la fabrication et de la technologie en Europe occidentale, en Am\u00e9rique du Nord et du Sud et en Australie.<\/p>\n “Rhysida est une application de ransomware cryptographique Windows ex\u00e9cutable portable (PE) 64 bits compil\u00e9e \u00e0 l’aide de MINGW\/GCC,” SentinelOne a dit<\/a> dans une r\u00e9daction technique. “Dans chaque \u00e9chantillon analys\u00e9, le nom du programme de l’application est d\u00e9fini sur Rhysida-0.1, ce qui sugg\u00e8re que l’outil en est aux premiers stades de d\u00e9veloppement.”<\/p>\n <\/p>\n![\"Ran\u00e7ongiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1688364072_125_Les-operateurs-BlackCat-distribuent-des-ransomwares-deguises-en-WinSCP-via.jpg\" "\\"Ran\u00e7ongiciel")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Microsoft-met-en-garde-contre-les-attaques-de-vol-dinformations.png\")
<\/a><\/center><\/div>\n