Empoisonnement Du Référencement

Une campagne d’empoisonnement de l’optimisation des moteurs de recherche (SEO) en cours a été observée, abusant de la confiance dans les utilitaires logiciels légitimes pour inciter les utilisateurs à télécharger le logiciel malveillant BATLOADER sur des machines compromises.

« L’acteur de la menace a utilisé les thèmes » installation d’applications de productivité gratuites « ou » installation d’outils de développement de logiciels gratuits « comme mots-clés SEO pour attirer les victimes vers un site Web compromis et télécharger un programme d’installation malveillant », ont déclaré des chercheurs de Mandiant. mentionné dans un rapport publié cette semaine.

Dans les attaques d’empoisonnement SEO, les adversaires augmentent artificiellement le classement des moteurs de recherche des sites Web (authentiques ou non) hébergeant leurs logiciels malveillants pour les faire apparaître en haut des résultats de recherche afin que les utilisateurs recherchant des applications spécifiques comme TeamViewer, Visual Studio et Zoom soient infectés par logiciels malveillants.

Sauvegardes Github Automatiques

Le programme d’installation, tout en emballant le logiciel légitime, est également fourni avec la charge utile BATLOADER qui est exécutée pendant le processus d’installation. Le logiciel malveillant agit alors comme un tremplin pour mieux comprendre l’organisation ciblée en téléchargeant les exécutables de l’étape suivante qui propagent la chaîne d’infection à plusieurs étapes.

Empoisonnement Du Référencement

L’un de ces exécutables est une version falsifiée d’un composant interne de Microsoft Windows auquel est ajouté un VBScript malveillant. L’attaque utilise ensuite une technique appelée exécution de proxy binaire signé pour exécuter le fichier DLL à l’aide de l’utilitaire légitime « Mshta.exe ».

Publicité
Empoisonnement Du Référencement

Cela se traduit par l’exécution du code VBScript, déclenchant efficacement la phase suivante de l’attaque dans laquelle des charges utiles supplémentaires telles que Atera Agent, Balise de frappe cobalt, et Ursnif sont livrés dans les étapes ultérieures pour aider à effectuer la reconnaissance à distance, l’escalade des privilèges et la collecte des informations d’identification.

Empêcher Les Violations De Données

De plus, signe que les opérateurs ont expérimenté différents stratagèmes, une variante alternative de la même campagne a livré le logiciel de gestion de télésurveillance Atera directement à la suite du compromis initial pour d’autres activités de post-exploitation.

Mandiant a également appelé les chevauchements des attaques avec celles des techniques adoptées par le gang de rançongiciels Conti, qui étaient médiatisé dans Août 2021. « À l’heure actuelle, en raison de la diffusion publique de ces informations, d’autres acteurs non affiliés peuvent reproduire les techniques pour leurs propres motivations et objectifs », ont déclaré les chercheurs.


Rate this post
Publicité
Article précédentTatami Time Machine Blues Anime dévoile plus de distribution et de conceptions de personnages
Article suivantNintendo « s’intéresse » aux NFT et au « métaverse »
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici