BlackCat rosszindulatú hirdetéssel
A Trend Micro kutatói azonosította egy kampányt, amelyben rosszindulatú hirdetéseket használtak kártékony programok terjesztésére valós szervezetek klónozott weboldalain keresztül. A nyilvánosságra hozott kampányban a terjesztés a WinSCP alkalmazás weboldalát érintette, amely egy nyílt forráskódú Windows-alkalmazás fájlátvitelre.
A vállaltok gyakran használják a Google Ads és más hirdeti platformokat a termékek jobb találati helyre pozicionálására, a forgalom és az eladások növelése érdekében. A rosszindulatú programok terjesztői ugyanezzel a funkcióval visszaélnek egy rosszindulatú reklámozásnak (malvertising) nevezett technikával, ahol a kiválasztott kulcsszavakat eltérítik rosszindulatú hirdetések megjelenítésére, amelyek bizonyos típusú rosszindulatú programok letöltésére csábítják a gyanútlan felhasználókat.
Az elmúlt időszakban megnövekedett az olyan rosszindulatú kampányok száma, amelyek a Google Advertising szolgáltatást használják rosszindulatú programok terjesztésére és kézbesítésére. A SEO poisoning (keresőoptimalizálás mérgezése) technikák során a fenyegetés szereplőinek az a célja, hogy elegendő indexelt oldalt hozzanak létre, hogy növeljék a hamis Q&A-oldalak tekintélyét, és így előrébb kerüljenek a keresési találatok között.
A fertőzés akkor kezdődik, amikor a felhasználó a „WinSCP Download” kifejezésre keres valamelyik keresővel. A WinSCP alkalmazás rosszindulatú hirdetése megjelenik a keresési eredmények felett. A hirdetés egy gyanús weboldalra vezet, amely oktatóanyagot tartalmaz a WinSCP használatáról a fájlátvitel automatizálására. A teljes fertőzési folyamat magában foglalja a kezdeti leader telepítését, a botmag lekérését, és végül a payload eljuttatását, ami általában egy backdoor.
A Trend Micro által részletezett támadási láncban a fenyegetés szereplőinek sikerült ellopniuk a magas szintű rendszergazdai jogosultságokat a kihasználás utáni tevékenységek végzéséhez, és megpróbálták beállítani a tartós jelenlétet olyan távoli megfigyelési és felügyeleti eszközökkel, mint az AnyDesk, valamint a biztonsági mentéshez való hozzáférés.
A Trend Micro összekötötte tevékenységet a használt technikák, eljárások alapján korábban már azonosított BlackCat (ALPHV) fertőzéssel. A támadási forgatókönyvek részletes megértésével a szervezetek nemcsak azonosíthatják azokat a sebezhetőségeket, amelyek kompromittáláshoz és kritikus károkhoz vezethetnek, hanem megtehetik a szükséges intézkedéseket ezek megelőzésére.
A Trend Micro megosztotta az aknosításhoz szükséges mutatókat is.