Атака зловмисників поширює програму-вимагач BlackCat через фальшиві результати пошуку

Відстежено нову шкідливу рекламну атаку (Malvertising), основною ціллю якої є бізнес. Згідно з останнім звітом Bitdefender, зловмисники за допомогою реклами заманюють користувачів завантажити шкідливі версії популярних додатків, серед яких AnyDesk, AnyConnect, WinSCP, Treesize, Cisco, Slack тощо.

Автори звіту Віктор Врабіє та Александру Максимчук пояснили, що в цій кампанії хакери покладаються на сайдлоадлінг DLL для впровадження шкідливого коду в підроблені версії, щоб отримати доступ до комп’ютера жертви.

Після вторгнення вони можуть виконувати широкий спектр дій на пристрої, таких як крадіжка облікових даних, викрадення даних з метою вимагання, встановлення постійного доступу та встановлення програми-вимагача BlackCat.

До відома, програми-здирники BlackCat розповсюджуються операторами RaaS (ransomware-as-a-service – ” програми-вимагачі як послуга”). Ця програма-вимагач, яка також називається ALPHV, написана мовою програмування Rust і націлена на пристрої на базі Windows та Linux.

Справа про шкідливий ISO-архів

У своєму блозі компанія написала, що кіберзлочинці використовують шкідливий ISO-архів з привабливими пропозиціями для заманювання бізнес-користувачів. Окрім обіцяного програмного забезпечення, до складу пакету входить ZIP-архів. Цей файл містить виконуваний файл на мові Python (python.exe) та його залежності, які запускають шкідливий код як інсценізатор Meterpreter, що дозволяє зловмисникам отримати доступ до пристрою та досягти своїх мерзенних цілей.

Подальше дослідження показало, що кампанія була активною з травня 2023 року, а її основними цілями є організації в Північній Америці, зокрема, підприємства в США та Канаді. Наразі дослідники Bitdefender виявили шість організацій-мішеней у США та одну в Канаді.

Чому зростає кількість шкідливих рекламних атак?

Дослідники Bitdefender підкреслюють, що за останні кілька років вони помітили, що кіберзлочинці віддають перевагу атакам на підприємства за допомогою шкідливих версій широко використовуваних бізнес-додатків, оскільки їхню популярність відносно легко використати в своїх цілях.

Ці фальшиві програми розповсюджуються в рекламних оголошеннях, що просуваються через шкідливі веб-сайти. Спочатку зловмисники створюють підроблені веб-сайти зі шкідливими файлами, що містять програму-вимагач, для завантаження популярних додатків і за допомогою реклами виводять ці сайти на перші позиції в результатах пошуку. Невинні користувачі натискають на ці оголошення і заражають свої пристрої, завантажуючи фальшиві програми.

Повний список індикаторів компрометації для цієї рекламної атаки доступний тут (PDF).