BlackCat: siti fake di WinSCP per distribuire malware

BlackCat: siti fake di WinSCP per distribuire malware

Il gruppo BlackCat ha avviato una campagna di malvertising per distribuire malware sfruttando la popolarità del tool open source WinSCP.
BlackCat: siti fake di WinSCP per distribuire malware
Il gruppo BlackCat ha avviato una campagna di malvertising per distribuire malware sfruttando la popolarità del tool open source WinSCP.

Il gruppo BlackCat è noto per l’omonimo ransomware, ma prima di installare il payload finale vengono sfruttati vari tool per accedere al sistema ed effettuare la scansione della rete interna. I ricercatori di Trend Micro hanno scoperto una nuova campagna di malvertising che sfrutta la notorietà di WinSCP per ingannare le ignare vittime.

Siti fake di WinSCP

WinSCP è un client FTP/SFTP open source e file manager con supporto SSH. Quando l’utente cerca “WinSCP download” su Google o Bing, tra i risultati ci sono link sponsorizzati a siti che spiegano come utilizzare il software. Dalla pagina iniziale viene redirezionato verso un sito fasullo, simile a quello legittimo, che contiene il pulsante di download.

La vittima scarica però un’immagine ISO che contiene i file setup.exe e msi.dll. Eseguendo il primo (msiexec.exe con nome diverso) viene caricato in memoria il secondo, ovvero un dropper che copia su disco l’installer legittimo di WinSCP e il file python310.dll. Quest’ultimo è un beacon Cobalt Strike che si collega al server C2C (command and control). Viene inoltre aggiunga una chiave nel registro per la persistenza.

A questo punto, i cybercriminali eseguono altre operazioni con vari tool, tra cui AdFind (cerca informazioni su Active Directory), Findstr (cerca password nei file XML) e KillAV BAT (disabilita gli antivirus). Vengono usati anche script PowerShell per rubare dati. In alcuni casi, il gruppo BlackCat sfrutta il famigerato Terminator, un potente tool che disattiva gli antivirus (viene venduto a 3.000 dollari nel dark web).

Fonte: Trend Micro
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 lug 2023
Link copiato negli appunti