Les professionnels de l’IT ciblés par cette campagne malveillante basée sur WinSCP
Le logiciel WinSCP est utilisé dans le cadre d'une campagne de malvertising orchestrée par le groupe de ransomware BlackCat (ALPHV). Faisons le point sur cette menace.
Pour rappel, WinSCP est une application gratuite et open source très populaire permettant de bénéficier d'un client SFTP, SCP, FTP ou encore S3 sur son ordinateur dans le but de transférer des données. Distribuée sur SourceForce, WinSCP est téléchargée plus de 400 000 fois par semaine !
Dans le cadre de cette nouvelle campagne malveillante, le groupe de ransomware BlackCat utilise WinSCP comme un leurre dans le but de piéger des professionnels de l'informatique, notamment des administrateurs systèmes et des webmasters. En effet, WinSCP est très pratique pour transférer des données entre sa machine et un serveur distant (espace web, par exemple), ou inversement.
Les analystes de chez Trend Micro ont fait la découverte de publicités malveillantes sur Google et Bing, notamment lorsque la recherche "WinSCP Download" est effectuée. Ainsi, dans les résultats de recherche, le site malveillant mis en avant de façon sponsorisée apparaît en premier dans les résultats, devant le site officiel de téléchargement.
Si l'utilisateur clique sur le lien mis en avant par les pirates, il arrive sur un tutoriel qui évoque l'utilisation de WinSCP pour effectuer le transfert de fichiers. Ce site de destination est propre, ce qui lui permet de ne pas être détecté par les systèmes de protection de Google.
Par contre, il contient un lien de téléchargement WinSCP qui renvoie vers une copie du site officiel de WinSCP : le nom de domaine officiel winscp.net est remplacé par des alternatives comme "winsscp[.]com".
En décidant de télécharger le fichier sur ce site malveillant, l'utilisateur obtiendra une image ISO qui contient deux fichiers : setup.exe et msi.dll. Le premier étant là pour soi-disant installer WinSCP mais il va en fait charger la DLL malveillante. Ensuite, différentes étapes vont s'exécuter de manière automatique jusqu'à l'exécution d'un module Cobalt Strike permettant une connexion au serveur Command & Control des attaquants.
Grâce à cet accès, les attaquants peuvent effectuer des actions supplémentaires à distance : exécuter des scripts, déployer des outils, etc. Du côté de Trend Micro, les analystes ont repéré plusieurs outils comme PsExec, AnyDesk, Curl, PowerView, KillAV BAT, ainsi que SpyBoy Terminator, très efficace pour désactiver les solutions de sécurité.
Méfiance !