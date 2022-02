Une campagne d'empoisonnement du référencement ajoute le malware BATLOADER à vos installations Zoom et TeamViewer.



Une entreprise de cybersécurité a récemment découvert une campagne d'empoisonnement par optimisation des moteurs de recherche (SEO) destinée à inciter les utilisateurs à installer des logiciels malveillants sur leurs ordinateurs. La campagne utilise diverses techniques de référencement, telles que l'insertion de tonnes de mots-clés dans le code source de diverses pages Web malveillantes, afin de faire apparaître ces pages Web en tête des résultats de recherche pour diverses applications de productivité gratuites à télécharger.







L'équipe de Mandiant a constaté que cette campagne comporte deux chaînes d'infection différentes. La première chaîne d'infection cible les utilisateurs à la recherche de paquets de logiciels. Un utilisateur qui recherche quelque chose comme "installation d'outils de développement de logiciels gratuits" peut voir un site Web compromis parmi les résultats de recherche de la première page et visiter ce site. Si l'utilisateur télécharge et exécute le programme d'installation du logiciel sur le site compromis, il installera un logiciel légitime, mais ce logiciel est accompagné d'un malware BATLOADER.



Une fois que le malware BATLOADER est exécuté dans le cadre du processus d'installation, une chaîne d'infection en plusieurs étapes commence, où chaque étape implique le téléchargement et l'exécution d'une charge utile malveillante supplémentaire. L'une de ces charges utiles contient un VBScript malveillant intégré à un composant interne légitime de Windows, AppResolver.dll. Malgré le VBScript malveillant, la signature de code de l'échantillon de DLL reste valide, un problème que Microsoft a tenté de résoudre avec un patch pour CVE-2020-1599.



Dans une étape ultérieure de cette chaîne d'attaque, la charge utile malveillante installe d'autres logiciels malveillants, ainsi qu'ATERA. Cependant, la deuxième chaîne d'attaque passe outre les étapes précédentes et installe directement ATERA.







Cette deuxième chaîne d'attaque cible les utilisateurs à la recherche de logiciels spécifiques, plutôt que de packs de logiciels. Lorsqu'un utilisateur recherche "installation gratuite de TeamViewer", par exemple, l'un des premiers résultats renvoie à un site Web compromis qui utilise un système de direction du trafic (TDS). Le TDS tente de diriger les utilisateurs peu méfiants vers un site Web malveillant, tout en affichant une page Web légitime aux chercheurs en sécurité qui tentent de traquer les logiciels malveillants.



Les utilisateurs dirigés vers le site web malveillant trouveront un tableau d'affichage avec un lien de téléchargement pour ce qui semble être un logiciel légitime, mais qui est en réalité le paquet d'installation de l'agent ATERA. ATERA est un logiciel légitime de surveillance et de gestion à distance (RMM), mais les acteurs de la menace l'utilisent dans ce cas pour exécuter des scripts préconfigurés, effectuer des tâches malveillantes, installer des logiciels malveillants persistants, et enfin se désinstaller, une fois son travail terminé.



Selon Mandiant, certaines des activités de la chaîne d'attaque se recoupent avec les techniques utilisées dans les opérations du ransomware CONTI. Le groupe de menace à l'origine de cette campagne d'empoisonnement du référencement pourrait reproduire les techniques de CONTI, en s'inspirant des documents de formation, des manuels de jeu et des outils qui ont été divulgués par un affilié mécontent de CONTI en août 2021.



Le rapport de Mandiant sur la campagne d'empoisonnement du référencement contient des détails supplémentaires, notamment certains des domaines malveillants utilisés dans la campagne, ainsi que les valeurs de hachage MD5 des paquets malveillants utilisés dans la campagne.



HOTHARDWARE