Des chercheurs en sécurité ont récemment découvert une campagne malveillante utilisant l'empoisonnement SEO pour inciter les victimes potentielles à télécharger le malware BATLOADER. Les attaquants ont créé des sites malveillants contenant des mots-clés de produits logiciels populaires, et utilisé l'empoisonnement de l'optimisation des moteurs de recherche pour les faire apparaître plus haut dans les résultats de recherche. Les chercheurs de Mandiant ont également observé une technique d'évasion intelligente qui reposait sur mshta.exe, qui est un utilitaire natif de Windows conçu pour exécuter des fichiers d'application Microsoft HTML (HTA).
Un autre exemple récent de malware utilisant l'empoisonnement SEO pour infecter les utilisateurs distribués le célèbre voleur d'informations Raccoon. Cette campagne comportait des sites malveillants optimisés pour les moteurs de recherche qui occupaient un rang élevé dans les résultats de Google. Les pirates ont également utilisé ces astuces sur une chaîne YouTube avec une vidéo sur les marchandises, ou logiciel piraté.
L'empoisonnement SEO fournit le malware BATLOADER
En ce qui concerne la campagne actuelle de logiciels malveillants BATLOADER, les pirates ont utilisé "l'installation d'applications de productivité gratuites" ou "l'installation d'outils de développement de logiciels gratuits" comme mots-clés SEO pour inciter les victimes à visiter des sites Web compromis et à télécharger un programme d'installation malveillant, contenant un logiciel légitime fourni avec le logiciel malveillant. Il convient de noter que le logiciel malveillant BATLOADER est déposé et exécuté pendant le processus d'installation du logiciel..
Selon le rapport de Mandiant, "Ce premier compromis BATLOADER a été le début d'une chaîne d'infection en plusieurs étapes qui permet aux attaquants de prendre pied au sein de l'organisation cible." Les acteurs de la menace ont également utilisé des outils légitimes tels que PowerShell, Msiexec.exe, et Mshta.exe pour éviter la détection par les fournisseurs de sécurité.
L'un des éléments de l'attaque ressemble à l'exploit CVE-2020-1599, un bogue sévère dans Google Chrome signalé l'année dernière:
Un exemple notable trouvé dans la chaîne d'attaque était un fichier nommé, "AppResolver.dll". Cet exemple de DLL est un composant interne du système d'exploitation Microsoft Windows développé par Microsoft, mais avec VBScript malveillant intégré de manière à ce que la signature de code reste valide. L'exemple DLL n'exécute pas le VBScript lorsqu'il est exécuté par lui-même. Mais lorsqu'il est exécuté avec Mshta.exe, Mshta.exe localise et exécute le VBScript sans aucun problème.
Ce problème ressemble le plus à CVE-2020-1599, La signature PE Authenticode reste valide après l'ajout de scripts pris en charge par HTA signés par n'importe quel développeur de logiciel. Ces polyglottes PE+HTA (.fichiers hta) peut être exploité via Mshta.exe pour contourner les solutions de sécurité qui s'appuient sur la signature de code Microsoft Windows pour décider si les fichiers sont fiables. Ce problème a été corrigé en tant que CVE-2020-1599.
Vous pouvez en savoir plus sur la chaîne d'infection polyvalente dans le rapport initial.