Sembra che alcuni criminali informatici abbiano sfruttato il popolare lettore multimediale VLC per inviare i beacon Cobalt Strike a obiettivi in Australia.
La campagna include operazioni di "SEO poisoning" e la diffusione del loader malware Gootkit e si rivolge a vittime che cercano istituzioni sanitarie in Australia.
Il malware è stato scoperto da Trend Micro, azienda nota per l'omonimo antivirus, che ha descritto come gli hacker abbiano creato un sito web dannoso, progettato per sembrare un forum, in cui un utente ha condiviso un modello di documento di contratto relativo all'assistenza sanitaria all'interno di un archivio ZIP, in risposta a una domanda.
"Poisoning" dei risultati dei motori di ricerca
Per far sì che il sito si posizionasse in alto su Google, i responsabili dell'attacco hanno effettuato il "poisoning" delle pagine dei risultati del motore di ricerca aggiungendo il link al sito dannoso al maggior numero possibile di articoli e post sui social media online.
Quando un sito web riceve molti link, l'algoritmo di Google lo percepisce come autorevole e lo posiziona più in alto nelle pagine dei risultati. In questa campagna, i ricercatori hanno rilevato che il sito web dannoso si posizionava in alto per parole chiave legate alla medicina, come "ospedale", "salute", "medico" e "contratto", abbinate ai nomi di città australiane.
Le vittime che cadono nel tranello e scaricano l'archivio ZIP dannoso sui loro sistemi ottengono in realtà i componenti del loader Gootkit che successivamente rilasciano uno script PowerShell che scarica altro malware sul dispositivo di destinazione. Tra i file che il loader acquisisce c'è una copia legittima e firmata del lettore multimediale VLC e un file DLL dannoso che, una volta attivato, distribuisce il beacon Cobalt Strike.
Il file del lettore multimediale VLC viene visualizzato come servizio Microsoft Distributed Transaction Coordinator (MSDTC). Se l'utente lo esegue, VLC cercherà il file DLL e lo eseguirà, infettando il dispositivo in quello che è generalmente noto come attacco side-loading.
Cobalt Strike è uno strumento commerciale di pentesting che consente all'utente di distribuire un agente denominato "Beacon" sul computer della vittima. I criminali informatici lo utilizzano per scansionare la rete di destinazione, spostarsi lateralmente, rubare password e altri dati sensibili e distribuire malware più devastanti. I beacon Cobalt Strike sono spesso seguiti da un attacco ransomware.
- This are the best antivirus solutions right now
Via: BleepingComputer
