Le logiciel malveillant recherche des établissements de santé
Le lecteur multimédia VLC est utilisé pour fournir des balises Cobalt Strike à des cibles en Australie.
La campagne comprend l’empoisonnement SEO et l’onglet des logiciels malveillants du chargeur Gootkit, et cible les victimes à la recherche d’établissements de santé en Australie.
Trend Micro a repéré l’attaque et décrit comment les acteurs de la menace ont créé un site Web malveillant, conçu pour ressembler à un forum, où un utilisateur a partagé un modèle de document d’accord lié aux soins de santé dans une archive ZIP en réponse à un requête.
Pour que le site Web soit bien classé sur Google, ils ont”empoisonné”les pages de résultats des moteurs de recherche en ajoutant le lien vers le site malveillant dans les publications sur les réseaux sociaux.
En créant sites fortement liés, l’algorithme de Google le perçoit comme faisant autorité et le pousse plus haut sur ses pages de résultats.
Dans cette campagne , les chercheurs ont découvert que le site Web malveillant était très bien classé pour les mots clés liés à la médecine tels que”hôpital”,”santé”,”médical”et”accord”-associés aux noms de villes d’Australie.
Victimes qui tombent dans le piège et téléchargent l’archive ZIP malveillante sur leurs points de terminaison obtiendraient des composants de chargeur Gootkit qui déposeraient plus tard un script PowerShell qui télécharge plus de logiciels malveillants sur l’appareil cible. Parmi les fichiers se trouve une copie légitime et signée du lecteur multimédia VLC et un fichier DLL malveillant qui, lorsqu’il est déclenché, déploie la balise Cobalt Strike.
Le fichier du lecteur multimédia VLC est le Microsoft Distributed Transaction Coordinator (MSDTC ) un service. Si l’utilisateur l’exécute, VLC recherchera le fichier DLL et l’exécutera, infectant l’appareil dans ce que l’on appelle généralement une attaque par chargement latéral.
Cobalt Strike est un outil commercial de test d’intrusion permettant à l’utilisateur pour déployer un agent nommé’Beacon’sur la machine victime. Les cybercriminels l’utilisent pour analyser le réseau cible, se déplacer latéralement, voler des mots de passe et d’autres données sensibles et déployer des logiciels malveillants plus dévastateurs. Les balises Cobalt Strike sont souvent suivies d’une attaque de ransomware.