Une campagne active de malvertising cible les entreprises

Bitdefender a publié une étude détaillant une campagne active de malvertising ciblant les entreprises.

Tribune – Cette campagne utilise une archive ISO malveillante pour distribuer des fichiers malveillants via des publicités alléchantes qui dirigent les victimes vers de fausses pages de téléchargement d’applications professionnelles populaires telles que AnyDesk, Cisco, AnyConnect, Slack et d’autres.

À l’aide de techniques de chargement latéral de DLL, un code malveillant est injecté pour permettre aux attaquants d’accéder à l’ordinateur de la victime. Les principaux objectifs sont d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et d’implanter le ransomware BlackCat.

En plus de fournir le logiciel annoncé, le fichier ISO malveillant contient une archive ZIP contenant un exécutable Python et ses dépendances. Une bibliothèque de liens dynamiques (DLL) chargée par l’exécutable Python exécute un code malveillant qui permet à l’attaquant d’accéder à l’ordinateur de la victime.

L’objectif principal de la campagne est d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et de mettre en place un ransomware.

Principales conclusions :

• Bitdefender a découvert une campagne de publicité malveillante ciblant les entreprises qui s’appuie sur la popularité d’applications professionnelles largement utilisées pour diriger les victimes (via des publicités malveillantes) vers de fausses pages de téléchargement dans le but d’infecter les ordinateurs.
• La campagne est active depuis (au moins) mai 2023 et vise principalement l’Amérique du Nord.
• L’objectif de la campagne est d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et d’implanter un ransomware. Bitdefender a été témoin de tentatives de déploiement du ransomware BlackCat.
• Bitdefender recommande vivement aux entreprises, en particulier en Amérique du Nord, de rester en alerte car la campagne est toujours active. L’entreprise recommande également aux entreprises et d’appliquer les indicateurs de compromissions présentés dans cette étude qui inclut le whitepaper téléchargeable.