Кампания по отравлению SEO связывает ваши установки Zoom и TeamViewer с вредоносным ПО BATLOADER

Пример отравления SEO
Фирма  , занимающаяся кибербезопасностью , совсем недавно обнаружила кампанию по отравлению поисковой оптимизации (SEO), направленную на то, чтобы обмануть пользователей и заставить их установить вредоносное ПО на свои компьютеры. Кампания работает за счет использования различных методов SEO, таких как втискивание множества ключевых слов в исходный код различных вредоносных веб-страниц, чтобы поднять эти веб-страницы в верхней части результатов поиска для различных приложений для повышения производительности, которые можно загрузить бесплатно.

Команда Mandiant обнаружила, что эта кампания имеет две разные цепочки заражения. Первая цепочка заражения нацелена на пользователей, которые ищут пакеты программного обеспечения. Пользователь, который ищет что-то вроде «установка бесплатных средств разработки программного обеспечения», может увидеть скомпрометированный веб-сайт среди результатов поиска на первой странице и посетить этот сайт. Если пользователь загрузит и запустит установщик программного обеспечения на скомпрометированном сайте, он установит законное программное обеспечение, но в комплекте с этим программным обеспечением находится вредоносное ПО BATLOADER .

Как только вредоносное ПО BATLOADER запускается как часть процесса установки, начинается многоэтапная цепочка заражения, где каждый этап включает в себя загрузку и выполнение дополнительной вредоносной полезной нагрузки. Одна из этих полезных нагрузок содержит вредоносный VBScript, встроенный в законный внутренний компонент Windows, AppResolver.dll. Несмотря на вредоносный VBScript, сигнатура кода образца DLL остается действительной, и это проблема, которую Microsoft попыталась решить с помощью исправления для CVE-2020-1599.

На более позднем этапе этой цепочки атак вредоносная полезная нагрузка устанавливает дополнительное вредоносное ПО, а также ATERA. Однако вторая цепочка атак пропускает предыдущие шаги и устанавливает ATERA напрямую.

seo кампания по отравлению zoom teamviewer доска сообщений о вредоносном ПО новости
Поддельная доска объявлений со ссылкой для скачивания вредоносного пакета.

Эта вторая цепочка атак нацелена на пользователей, которые ищут конкретное программное обеспечение, а не пакеты программного обеспечения. Когда пользователь ищет, например, «бесплатная установка TeamViewer», один из лучших результатов будет содержать ссылку на скомпрометированный веб-сайт, который злоупотребляет системой управления трафиком (TDS). TDS попытается направить ничего не подозревающих пользователей на вредоносный веб-сайт, одновременно отображая законную веб-страницу исследователям безопасности, пытающимся выследить вредоносное ПО.

Пользователи, перенаправленные на вредоносный веб-сайт, найдут доску объявлений со ссылкой для загрузки того, что кажется законным программным обеспечением, но на самом деле является пакетом установки агента ATERA. ATERA — это законное программное обеспечение для удаленного мониторинга и управления (RMM), но злоумышленники в этом случае используют его для запуска предварительно настроенных сценариев, выполнения вредоносных задач, установки постоянных вредоносных программ и, наконец, удаления самого себя после завершения своей работы.

Согласно Mandiant, некоторые действия в цепочке атак пересекаются с методами, используемыми в операциях CONTI с программами-вымогателями . Группа угроз, стоящая за этой кампанией по отравлению SEO, может копировать методы CONTI, опираясь на учебные документы, учебники и инструменты, которые были опубликованы недовольным филиалом CONTI в августе 2021

года. Отчет Mandiant в кампании по отравлению SEO содержит дополнительные сведения, включая некоторые вредоносные домены, используемые в кампании, а также значения хэш-функции MD5 вредоносных пакетов, используемых в кампании.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал