BlackCat usa publicidad maliciosa para empujar la puerta trasera
3 min read
Ciberdelincuencia como servicio , Gestión de fraude y ciberdelincuencia , Ransomware
Los atacantes implementan páginas web WinSCP y SpyBoy clonadas para inyectar malware
Prajeet Nair (@prajeetspeaks) •
3 de julio de 2023
El grupo BlackCat ransomware-as-a-service desarrolla un grupo de actividades de amenazas utilizando palabras clave elegidas de las páginas web de organizaciones legítimas para implementar malware.
Ver también: Seminario web en vivo | Recupere el control de sus secretos: la salsa secreta para la seguridad secreta
Una organización anónima y los investigadores de Trend Micro descubrieron que los ciberdelincuentes realizaban actividades no autorizadas dentro de la red corporativa utilizando una página web clonada de WinSCP, una aplicación de transferencia de archivos de Windows de código abierto; y SpyBoy, un terminador que perjudica la protección proporcionada por los Agentes.
“Los distribuidores de malware están abusando de la misma funcionalidad en una técnica conocida como publicidad maliciosa: secuestran palabras clave para mostrar anuncios maliciosos que engañan a los usuarios desprevenidos de los motores de búsqueda para que descarguen malware”, según Trend Microphone. relación.
Los atacantes robaron privilegios de administrador de alto nivel y también intentaron establecer persistencia y acceso de puerta trasera al entorno del cliente utilizando herramientas de administración remota.
Los investigadores observaron similitudes en las tácticas utilizadas en esta campaña con campañas anteriores dirigidas por BlackCat.
“Junto con otros tipos de malware y herramientas ya mencionados, pudimos identificar el uso del antivirus SpyBoy o el terminador de respuesta y detección de puntos finales en un intento de alterar la protección proporcionada por los agentes”, dijeron los investigadores.
Para exfiltrar los datos, los atacantes utilizaron el cliente PuTTY Secure Copy para transferir la información. La investigación adicional de los dominios de comando y control utilizados por el actor de amenazas condujo al descubrimiento de una posible relación con el ransomware Clop.
cadena de ataque
Usando técnicas de envenenamiento de SEO, se engaña a los usuarios desprevenidos para que descarguen una aplicación clonada que contiene malware.
“El flujo de infección general implica la entrega inicial del cargador, la recuperación del núcleo del bot y, finalmente, la eliminación de la carga útil, generalmente una puerta trasera”, dijeron los investigadores.
La aplicación WinSCP en este caso contenía una puerta trasera que contenía Cobalt Strike Beacon, que permite que un servidor remoto realice operaciones de seguimiento.
Los investigadores también detectaron a los actores de amenazas que utilizan algunas otras herramientas, como AdFind, que está diseñado para recuperar y mostrar información de los entornos de Active Directory.
“En manos de un actor malicioso, AdFind puede ser mal utilizado para la enumeración de cuentas de usuario, la escalada de privilegios e incluso la extracción de hash de contraseñas”, dijeron los investigadores. Los actores malintencionados también utilizaron la herramienta de gestión remota AnyDesk en el entorno para mantener la persistencia.
“Adicto a la televisión total. Experto en viajes. Gurú de Twitter. Evangelista de tocino. Creador galardonado. Aficionado al alcohol. Fanático de la música. Solucionador de problemas”.