Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

BlackCat: falsi siti di WinSCP distribuiscono malware

Trend Micro ha scoperto una nuova campagna di malvertising attuata da BlackCat che sfrutta la notorietà di WinSCP per ingannare le vittime.
BlackCat: falsi siti di WinSCP distribuiscono malware
Trend Micro ha scoperto una nuova campagna di malvertising attuata da BlackCat che sfrutta la notorietà di WinSCP per ingannare le vittime.
Link copiato negli appunti

I ricercatori di Trend Micro hanno da poco comunicato d aver scoperto una nuova campagna di malvertising che sfrutta la notorietà di WinSCP per trarre in inganno le vittime. La campagna, a quanto pare, è stata messa a punto dal gruppo BlackCat, noto per la distribuzione dell’omonimo ransomware,

BlackCat trane in inganno con WinSCP

Per chi non lo sapesse oppure non ne fosse a conoscenza, WinSCP è un client FTP/SFTP open source che funge pure da file manager e che integra il supporto SSH. Quando l’utente cerca “WinSCP download” sul Web, tra i risultati vengono mostrati link sponsorizzati a siti che indicano come utilizzare il software. Dalla pagina iniziale, gli utenti vengono indirizzati verso un sito fake molto simile a quello legittimo che contiene il pulsante per procedere con il download.

L'utente preso di mira si ritrova però a scaricare un’immagine ISO che contiene i file setup.exe e msi.dll e avviando il primo viene caricato in memoria il secondo, che è un dropper capace di copiare su disco l’installer legittimo di WinSCP e il file python310.dll. Quest’ultimo è un beacon Cobalt Strike che si collega al server C2C (command and control). Per la persistenza, viene altresì aggiunta una chiave ad hoc nel registro di sistema di Windows.

Successivamente, i criminali informatici possono eseguire operazioni varie sfruttando tool appositi, come AdFind (capace di cercare informazioni su Active Directory), Findstr (in grado di reperire password nei file XML) e KillAV BAT (agisce disabilitando gli antivirus). Vengono altresì adoperati script PowerShell per rubare dati e in taluni casi è pure previsto l'uso del tool Terminator che disattiva l'azione degli antivirus sul computer colpito.

Ti consigliamo anche