WinSCP BlackCat: Prima di scaricarlo, fate attenzione.
WinSCP e Malvertising
Recentemente, i ricercatori di sicurezza hanno scoperto un attacco associato al ransomware BlackCat, dove gli attori delle minacce hanno utilizzato il malvertising come mezzo per distribuire installer illegali dell’applicazione di trasferimento file WinSCP.
WinSCP – WinSCP BlackCat ?
WinSCP è un client SFTP, client FTP, client WebDAV, client S3, client SCP e file manager open source per Windows. La sua funzione principale è il trasferimento di file tra un computer locale e uno remoto. Oltre a questo, WinSCP offre funzionalità di scripting e di file manager di base.
Malvertising – WinSCP BlackCat
Il malvertising è una tecnica in cui vengono utilizzate parole chiave “avvelenate” per generare annunci fraudolenti sui risultati di ricerca di motori come Bing e Google. Questo, con l’intento di indirizzare gli utenti verso pagine malevole. In questo caso, gli utenti alla ricerca di WinSCP sono stati indotti a scaricare malware tramite backdoor contenente un Cobalt Strike Beacon, che consente il collegamento a un server remoto per ulteriori attività. Gli attori delle minacce hanno sfruttato anche strumenti legittimi come AdFind per scoprire la rete e Terminator per evitare la sicurezza tramite un attacco BYOVD (Bring Your Own Vulnerable Driver).
Gli attaccanti hanno rubato i privilegi di amministratore per condurre attività post-exploitation, cercando di stabilire la persistenza tramite strumenti di gestione remota come AnyDesk e accedendo ai server di backup.
Questo attacco rappresenta solo uno dei molteplici esempi in cui minacce sfruttano Google Ads per distribuire malware. Nel novembre 2022, Microsoft ha rivelato una campagna di attacco simile utilizzando il servizio pubblicitario per diffondere il malware BATLOADER, che a sua volta distribuiva il ransomware Royal.
Nel frattempo, un gruppo di cybercriminali noto come Conti/TrickBot, che è stato oggetto di eventi dirompenti, continua a esistere in forma ridotta, utilizzando crypter e infrastrutture condivise per diffondere nuovi ceppi di malware.
Conti rileva l’operazione TrickBot.
I ricercatori della società di cybercrime e adversarial disruption Advanced Intelligence (AdvIntel) hanno notato che nel 2021 Conti era diventato l’unico beneficiario della fornitura di accessi di rete di alta qualità da parte di TrickBot.
A quel punto, il team principale di sviluppatori di TrickBot aveva già creato un malware più subdolo, BazarBackdoor, utilizzato principalmente per l’accesso remoto a reti aziendali di alto valore, dove poter distribuire ransomware.
Poiché il trojan TrickBot era diventato facilmente individuabile dai fornitori di antivirus, gli attori delle minacce hanno iniziato a passare a BazarBackdoor per l’accesso iniziale alle reti, poiché era stato sviluppato specificamente per compromettere furtivamente obiettivi di alto valore.
Tuttavia, entro la fine del 2021, Conti è riuscita ad attirare “diversi sviluppatori e gestori d’élite” della botnet TrickBot, trasformando l’operazione in una sua filiale piuttosto che in un partner, osserva AdvIntel in un rapporto condiviso con BleepingComputer.
Rhysida
Nonostante la natura dinamica dell’ecosistema del crimine informatico, con l’avvicendarsi di attori informatici nefasti e l’unione di alcune operazioni, la chiusura o il rebranding dei loro schemi a scopo finanziario, il ransomware continua a essere una minaccia costante.
Questo include l’emergere di un nuovo gruppo di ransomware-as-a-service (RaaS) chiamato Rhysida. Rhysida ha colpito principalmente i settori dell’istruzione, della pubblica amministrazione, della produzione e della tecnologia in Europa occidentale, Nord e Sud America e Australia.
“Rhysida è un’applicazione ransomware crittografica Windows Portable Executable (PE) a 64 bit compilata con MINGW/GCC”. “In ogni campione analizzato, il nome del programma dell’applicazione è impostato su Rhysida-0.1, il che suggerisce che lo strumento è nelle prime fasi di sviluppo”.