Des cybercriminels ont été découverts abusant du populaire lecteur multimédia VLC pour livrer des balises Cobalt Strike à des cibles en Australie.
La campagne comprend l’empoisonnement SEO et le malware Gootkit loader (s’ouvre dans un nouvel onglet) et cible les victimes à la recherche d’établissements de santé en Australie.
Le logiciel malveillant a été découvert par Trend Micro, qui a décrit comment les acteurs de la menace ont créé un site Web malveillant, conçu pour ressembler à un forum, où un utilisateur a partagé un modèle de document d’accord lié aux soins de santé dans une archive ZIP, en réponse à une requête.
Pages de résultats des moteurs de recherche « Empoisonnement »
Ensuite, afin que le site Web soit bien classé sur Google, ils ont « empoisonné » les pages de résultats des moteurs de recherche en ajoutant le lien vers le site malveillant à autant d’articles et de publications sur les réseaux sociaux en ligne que possible.
Chaque fois qu’un site Web est fortement lié, l’algorithme de Google le perçoit comme faisant autorité et le pousse plus haut sur ses pages de résultats. Dans cette campagne, les chercheurs ont découvert que le site Web malveillant se classait très bien pour les mots-clés liés à la médecine tels que « hôpital », « santé », « médical » et « accord » – associés aux noms de villes en Australie.
Les victimes qui tombent dans le piège et téléchargent l’archive ZIP malveillante sur leurs points de terminaison obtiendraient en fait des composants de chargeur Gootkit qui déposeraient plus tard un script PowerShell qui téléchargeait plus de logiciels malveillants sur l’appareil cible. Parmi les fichiers récupérés par le chargeur, il y a une copie légitime et signée du lecteur multimédia VLC et un fichier DLL malveillant qui, lorsqu’il est déclenché, déploie la balise Cobalt Strike.
Le fichier du lecteur multimédia VLC s’affiche en tant que service Microsoft Distributed Transaction Coordinator (MSDTC). Si l’utilisateur l’exécute, VLC recherchera le fichier DLL et l’exécutera, infectant l’appareil dans ce que l’on appelle généralement une attaque de chargement latéral.
Cobalt Strike est un outil commercial de pentesting permettant à l’utilisateur de déployer un agent nommé ‘Beacon’ sur la machine victime. Les cybercriminels l’utilisent pour analyser le réseau cible, se déplacer latéralement, voler des mots de passe et d’autres données sensibles et déployer des logiciels malveillants plus dévastateurs. Les balises Cobalt Strike sont souvent suivies d’une attaque de ransomware.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)