Accueil > Nouvelles Cyber > Les pirates utilisent l'empoisonnement SEO pour diffuser le logiciel malveillant BATLOADER
CYBER NOUVELLES

Les pirates utilisent l'empoisonnement SEO pour diffuser le logiciel malveillant BATLOADER

Les pirates utilisent l'empoisonnement SEO pour diffuser le logiciel malveillant BATLOADER

Des chercheurs en sécurité ont récemment découvert une campagne malveillante utilisant l'empoisonnement SEO pour inciter les victimes potentielles à télécharger le malware BATLOADER. Les attaquants ont créé des sites malveillants contenant des mots-clés de produits logiciels populaires, et utilisé l'empoisonnement de l'optimisation des moteurs de recherche pour les faire apparaître plus haut dans les résultats de recherche. Les chercheurs de Mandiant ont également observé une technique d'évasion intelligente qui reposait sur mshta.exe, qui est un utilitaire natif de Windows conçu pour exécuter des fichiers d'application Microsoft HTML (HTA).




Un autre exemple récent de malware utilisant l'empoisonnement SEO pour infecter les utilisateurs distribués le célèbre voleur d'informations Raccoon. Cette campagne comportait des sites malveillants optimisés pour les moteurs de recherche qui occupaient un rang élevé dans les résultats de Google. Les pirates ont également utilisé ces astuces sur une chaîne YouTube avec une vidéo sur les marchandises, ou logiciel piraté.

L'empoisonnement SEO fournit le malware BATLOADER

En ce qui concerne la campagne actuelle de logiciels malveillants BATLOADER, les pirates ont utilisé "l'installation d'applications de productivité gratuites" ou "l'installation d'outils de développement de logiciels gratuits" comme mots-clés SEO pour inciter les victimes à visiter des sites Web compromis et à télécharger un programme d'installation malveillant, contenant un logiciel légitime fourni avec le logiciel malveillant. Il convient de noter que le logiciel malveillant BATLOADER est déposé et exécuté pendant le processus d'installation du logiciel..

Selon le rapport de Mandiant, "Ce premier compromis BATLOADER a été le début d'une chaîne d'infection en plusieurs étapes qui permet aux attaquants de prendre pied au sein de l'organisation cible." Les acteurs de la menace ont également utilisé des outils légitimes tels que PowerShell, Msiexec.exe, et Mshta.exe pour éviter la détection par les fournisseurs de sécurité.

L'un des éléments de l'attaque ressemble à l'exploit CVE-2020-1599, un bogue sévère dans Google Chrome signalé l'année dernière:

Un exemple notable trouvé dans la chaîne d'attaque était un fichier nommé, "AppResolver.dll". Cet exemple de DLL est un composant interne du système d'exploitation Microsoft Windows développé par Microsoft, mais avec VBScript malveillant intégré de manière à ce que la signature de code reste valide. L'exemple DLL n'exécute pas le VBScript lorsqu'il est exécuté par lui-même. Mais lorsqu'il est exécuté avec Mshta.exe, Mshta.exe localise et exécute le VBScript sans aucun problème.
Ce problème ressemble le plus à CVE-2020-1599, La signature PE Authenticode reste valide après l'ajout de scripts pris en charge par HTA signés par n'importe quel développeur de logiciel. Ces polyglottes PE+HTA (.fichiers hta) peut être exploité via Mshta.exe pour contourner les solutions de sécurité qui s'appuient sur la signature de code Microsoft Windows pour décider si les fichiers sont fiables. Ce problème a été corrigé en tant que CVE-2020-1599.

Vous pouvez en savoir plus sur la chaîne d'infection polyvalente dans le rapport initial.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord