Les publicités Google Ads utilisées par des pirates pour distribuer un malware redoutable !
Les chercheurs en sécurité de l'équipe Microsoft Security Threat Intelligence ont émis une alerte au sujet du ransomware Royal. Il s'avère que les cybercriminels, identifiés par Microsoft avec le nom DEV-0569, utilisent des campagnes de publicité Google Ads pour distribuer différents malwares dont le ransomware Royal.
Des campagnes de malvertising sont utilisées par le groupe DEV-0569 pour piéger les utilisateurs dans le but qu'ils téléchargent des exécutables malveillants signés. Pour cela, ils publient des messages sur des forums, des commentaires sur des blogs, utilisent le formulaire de contacts de sites Web et diffusent des publicités via Google Ads. En fait, il s'agit de "BATLOADER", un téléchargeur de logiciels malveillants, c'est-à-dire un logiciel qui, une fois en place sur une machine, sera capable de déployer des logiciels malveillants tels que le ransomware Royal. BATLOADER aurait des similitudes avec un autre malware nommé ZLoader.
Puisqu'il est signé, BATLOADER peut se faire passer pour un installeur légitime ou une mise à jour pour une application comme Microsoft Teams ou Zoom. Par exemple, en septembre 2022, Microsoft a identifié un faux site aux couleurs de TeamViewer utilisé par les pirates pour distribuer BATLOADER sous la forme d'un installeur TeamViewer.
L'entreprise américaine affirme qu'il y a eu de nombreuses campagnes d'août 2022 à octobre 2022, avec des installeurs pour TeamViewer, Adobe Flash Player, Zoom et AnyDesk. Pour héberger les logiciels malveillants et inciter les utilisateurs à télécharger BATLOADER, les pirates utilisent des sites créés sur des domaines comme "anydeskos[.]com" mais également des espaces GitHub et OneDrive.
Dans son rapport, Microsoft précise : "Lorsqu'il est lancé, BATLOADER utilise des actions personnalisées MSI pour lancer une activité PowerShell malveillante ou exécuter des scripts batch pour aider à désactiver les solutions de sécurité et conduire à la distribution de diverses charges utiles malveillantes chiffrées, qui sont ensuite déchiffrées et lancées avec des commandes PowerShell." - Pour désactiver les solutions antivirus, les pirates utilisent l'outil open-source Nsudo. Microsoft précise clairement que la charge finale peut être un ransomware, en l'occurrence ici le ransomware Royal.
Dernièrement, Microsoft a observé une campagne de malvertising basée sur les publicités Google Ads et la solution Keitaro. Ainsi, les cybercriminels ont pu créer une campagne personnalisée pour faire du ciblage précis sur les utilisateurs grâce aux informations de suivi de Keitaro. Grâce à ces publicités, les cybercriminels peuvent rediriger les utilisateurs vers des pages de téléchargement toujours dans le but de distribuer BATLOADER.
À la fin de son rapport, la firme de Redmond évoque quelques recommandations pour se protéger contre ces menaces. L'utilisation du filtre SmartScreen dans Microsoft Edge est évoquée, ainsi que la fonctionnalité Safe Links pour les e-mails, Microsoft Teams et les applications Office.