I ricercatori di Trend Micro hanno da poco comunicato d aver scoperto una nuova campagna di malvertising che sfrutta la notorietà di WinSCP per trarre in inganno le vittime. La campagna, a quanto pare, è stata messa a punto dal gruppo BlackCat, noto per la distribuzione dell’omonimo ransomware,
BlackCat trane in inganno con WinSCP
Per chi non lo sapesse oppure non ne fosse a conoscenza, WinSCP è un client FTP/SFTP open source che funge pure da file manager e che integra il supporto SSH. Quando l’utente cerca “WinSCP download” sul Web, tra i risultati vengono mostrati link sponsorizzati a siti che indicano come utilizzare il software. Dalla pagina iniziale, gli utenti vengono indirizzati verso un sito fake molto simile a quello legittimo che contiene il pulsante per procedere con il download.
L'utente preso di mira si ritrova però a scaricare un’immagine ISO che contiene i file setup.exe e msi.dll e avviando il primo viene caricato in memoria il secondo, che è un dropper capace di copiare su disco l’installer legittimo di WinSCP e il file python310.dll. Quest’ultimo è un beacon Cobalt Strike che si collega al server C2C (command and control). Per la persistenza, viene altresì aggiunta una chiave ad hoc nel registro di sistema di Windows.
Successivamente, i criminali informatici possono eseguire operazioni varie sfruttando tool appositi, come AdFind (capace di cercare informazioni su Active Directory), Findstr (in grado di reperire password nei file XML) e KillAV BAT (agisce disabilitando gli antivirus). Vengono altresì adoperati script PowerShell per rubare dati e in taluni casi è pure previsto l'uso del tool Terminator che disattiva l'azione degli antivirus sul computer colpito.