Les courtiers d’accès aux rançongiciels utilisent les publicités Google pour violer votre réseau

advertisment

advertisment

Un acteur menaçant suivi sous le nom de DEV-0569 utilise Google Ads dans des campagnes publicitaires continues et généralisées pour distribuer des logiciels malveillants, voler les mots de passe des victimes et, finalement, violer les réseaux pour des attaques de ransomwares.

Au cours des deux dernières semaines, des chercheurs en cybersécurité MalwareHunterÉquipe, Germán Fernándezet Will Dorman ont illustré comment les résultats de recherche Google sont devenus un foyer de publicités malveillantes poussant des logiciels malveillants.

Ces publicités prétendent être des sites Web pour des logiciels populaires, tels que LightShot, Rufus, 7-Zip, FileZilla, LibreOffice, AnyDesk, Awesome Miner, TradingView, WinRAR et VLC.

Les annonces Google faisant la promotion de faux sites de logiciels diffusent des logiciels malveillants
Les annonces Google faisant la promotion de faux sites de logiciels diffusent des logiciels malveillants
Source : Chercheurs/BleepingComputer

En cliquant sur les publicités, les visiteurs sont redirigés vers des sites qui apparaissent comme des portails de téléchargement ou des répliques des sites légitimes du logiciel, comme indiqué ci-dessous.

Faux site de téléchargement de Rufus
Faux site de téléchargement de Rufus
La source: BleepingComputer

Cependant, lorsque vous cliquez sur les liens de téléchargement, vous téléchargez généralement un fichier MSI qui installe divers logiciels malveillants en fonction de la campagne.

La liste des logiciels malveillants installés dans ces campagnes comprend jusqu’à présent RedLine Stealer, Gozi/Ursnif, Vidar et potentiellement Cobalt Strike et les ransomwares.

Bien qu’il semble y avoir de nombreux acteurs de la menace abusant de la plate-forme Google Ads pour distribuer des logiciels malveillants, deux campagnes particulières se distinguent, car leur infrastructure était auparavant associée à des attaques de ransomwares.

Des publicités Google aux attaques de rançongiciels

En février 2022, Mandiant a découvert une campagne de distribution de logiciels malveillants utilisant l’empoisonnement SEO pour classer les sites prétendant être des logiciels populaires dans les résultats de recherche.

Si un utilisateur installait le logiciel proposé à partir de ces pages, il exécuterait un nouveau téléchargeur de logiciels malveillants appelé BatLoader, qui lancerait un processus d’infection en plusieurs étapes qui fournirait finalement aux acteurs de la menace un accès initial aux réseaux des victimes.

Plus tard cette année-là, Microsoft a signalé que les acteurs de la menace derrière BatLoader, suivis sous le nom de DEV-0569, avaient commencé à utiliser les publicités Google pour promouvoir leurs sites malveillants. Pire encore, Microsoft a déclaré que ces infections ont finalement conduit au déploiement de Royal Ransomware sur des réseaux piratés.

“L’activité récente de l’acteur menaçant que Microsoft suit sous le nom de DEV-0569, connu pour distribuer diverses charges utiles, a conduit au déploiement du rançongiciel Royal, qui est apparu pour la première fois en septembre 2022 et est distribué par plusieurs acteurs malveillants”, a averti Microsoft dans leur rapport.

Les chercheurs pensent que DEV-0569 est un courtier d’accès initial qui utilise son système de distribution de logiciels malveillants pour violer les réseaux d’entreprise. Ils utilisent cet accès dans leurs propres attaques ou le vendent à d’autres acteurs malveillants, tels que le gang Royal ransomware.

Bien que Microsoft n’ait pas partagé beaucoup d’URL liées à ces attaques, d’autres rapports de TheFIR et eSentire ont ajouté plus d’informations, notamment les URL suivantes utilisées dans les campagnes de BatLoader :

bitbucket[.]org/ganhack123/load/downloads
ads-check[.]com (Used for tracking Google ads statistics)

Avance rapide jusqu’au 21 janvier 2023, lorsque le chercheur de CronUp Germán Fernández a noté que les publicités récentes de Google faisant la promotion de logiciels populaires ont conduit à des sites malveillants utilisant l’infrastructure exploitée par les acteurs de la menace DEV-0569.

Alors que les installateurs malveillants de cette campagne n’utilisent plus BatLoader, comme les campagnes précédentes vues par Microsoft, ils installent un voleur d’informations (RedLine Stealer) puis un téléchargeur de logiciels malveillants (Gozi/Ursnif).

Dans la campagne actuelle, RedLine est utilisé pour voler des données, telles que des mots de passe, des cookies et des portefeuilles de crypto-monnaie, tandis que Gozi/Ursnif est utilisé pour télécharger d’autres logiciels malveillants.

Fernández a déclaré à BleepingComputer qu’il avait lié ces nouvelles campagnes à DEV-0569 car elles utilisaient le même référentiel bitbucket et le vérification des publicités[.]com URL utilisée dans les campagnes signalées de novembre/décembre 2022.

Fernández n’a pas attendu assez longtemps pour voir si Cobalt Strike et Royal Ransomware seraient installés. Cependant, il a déclaré à BleepingComputer qu’il pensait que les pirates utiliseraient éventuellement l’infection Gozi pour supprimer Cobalt Strike, comme BatLoader l’avait fait lors de campagnes précédentes.

Fernández a également accédé au panneau Web de DEV-0569 utilisé pour suivre leur campagne de distribution de logiciels malveillants et captures d’écran partagées sur Twitter. Ces captures d’écran montraient les programmes légitimes usurpés et les nombreuses victimes dans le monde qui étaient infectées quotidiennement.

Lorsqu’on lui a demandé combien de personnes avaient été infectées par cette campagne sur la base des statistiques du panel Web, il a répondu qu’il n’était possible que d’estimer le nombre.

“Ils nettoient les données du panel tous les jours de campagne, mais il y a une donnée qui pourrait nous donner une idée, c’est l’identifiant corrélatif des enregistrements (ce pourrait être une valeur estimée du nombre de victimes de ce panel, en l’occurrence le la dernière valeur d’aujourd’hui est 63576)”, a déclaré Fernández à BleepingComputer.

Une autre campagne liée au rançongiciel CLOP

Pour empirer les choses, Fernández a découvert qu’une campagne publicitaire Google différente mais similaire utilisait une infrastructure précédemment utilisée par un groupe de menaces suivi sous le nom de TA505, connu pour distribuer le rançongiciel CLOP.

Dans cette campagne de publicités Google, les acteurs de la menace distribuent des logiciels malveillants via des sites Web prétendant être des logiciels populaires, tels que AnyDesk, Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe et, étrangement, des sites Web pour les formulaires W-9 IRS.

Une liste des domaines de cette campagne suivis par CronUp est disponible sur cette page GitHub.

Lorsque le logiciel malveillant de cette campagne est installé, il exécute un script PowerShell qui télécharge et exécute une DLL à partir du site Web télécharger-cdn[.]comlequel TA505 utilisé précédemment.

Script PowerShell pour télécharger des logiciels malveillants
Script PowerShell pour télécharger des logiciels malveillants
La source: BleepingComputer

Cependant, le chercheur sur les menaces de Proofpoint Tommy Madjar a déclaré à BleepingComputer que ce domaine avait changé de propriétaire dans le passé et qu’il n’est pas clair si TA505 l’utilise toujours.

Quel que soit le propriétaire de ces domaines, le grand nombre d’annonces Google malveillantes affichées dans les résultats de recherche devient un problème majeur pour les consommateurs et l’entreprise.

Ces campagnes étant utilisées pour obtenir un accès initial aux réseaux d’entreprise, elles peuvent conduire à diverses attaques, telles que le vol de données, les rançongiciels et même des attaques destructrices pour perturber les opérations d’une entreprise.

Bien que BleepingComputer n’ait pas contacté Google au sujet de cet article, nous l’avons contacté la semaine dernière au sujet d’une campagne de logiciels malveillants similaire diffusée via les annonces Google.

Google nous a dit à l’époque que les politiques de la plate-forme sont conçues et appliquées pour empêcher l’usurpation d’identité de marque.

“Nous avons des politiques solides interdisant les publicités qui tentent de contourner notre application en déguisant l’identité de l’annonceur et en usurpant l’identité d’autres marques, et nous les appliquons vigoureusement. Nous avons examiné les publicités en question et les avons supprimées”, a déclaré Google à BleepingComputer.

La bonne nouvelle est que Google a supprimé les publicités au fur et à mesure qu’elles sont signalées et détectées.

La mauvaise nouvelle est que les acteurs de la menace lancent constamment de nouvelles campagnes publicitaires et de nouveaux sites, ce qui en fait un jeu géant de taupe, et Google n’a pas l’impression de gagner.

advertisment

Leave a Comment