ALLERTA PERICOLI INFORMATICI

Microsoft mette in guardia contro gli hacker che utilizzano Google Ads per distribuire Royal Ransomware

Microsoft mette in guardia contro gli hacker che utilizzano Google Ads per distribuire Royal Ransomware
Scritto da gestore

รˆ stato rilevato un cluster di attivitร  di minaccia in via di sviluppo che utilizza Google Ads in una delle sue campagne per distribuire vari payload post-compromissione, incluso ilย ransomware Royalย recentemente scoperto .

Microsoft, che ha individuato il metodo di consegna del malware aggiornato alla fine di ottobre 2022, sta monitorando il gruppo con il nomeย DEV-0569ย .

Intermezzo promozionale ... continua la lettura dopo il box:

“Gli attacchi DEV-0569 osservati mostrano un modello di continua innovazione, con l’incorporazione regolare di nuove tecniche di scoperta, evasione della difesa e vari payload post-compromissione, oltre ad aumentare la facilitazione del ransomware”, haย affermatoย il team di Microsoft Security Threat Intelligence in un’analisi.

รˆ noto che l’autore della minaccia si affida al malvertising per indirizzare vittime ignare a collegamenti di downloader di malware che si presentano come installatori di software per app legittime come Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams e Zoom.

Il downloader di malware, un ceppo denominatoย BATLOADERย , รจ un dropper che funge da canale per distribuire i payload della fase successiva.ย รˆ stato osservato che condivide sovrapposizioni con un altro malware chiamatoย ZLoaderย .

Una recente analisi di BATLOADER diย eSentireย eย VMwareย ha messo in luce la furtivitร  e la persistenza del malware, oltre al suo utilizzo dell’avvelenamento dell’ottimizzazione dei motori di ricerca (SEO) per indurre gli utenti a scaricare il malware da siti Web compromessi o domini creati da aggressori.

In alternativa, i collegamenti di phishing vengono condivisi tramite e-mail di spam, pagine di forum falsi, commenti di blog e persinoย moduli di contattoย presenti sui siti Web delle organizzazioni mirate

“DEV-0569 ha utilizzato varie catene di infezione utilizzando PowerShell e script batch che alla fine hanno portato al download di payload di malware come ladri di informazioni o uno strumento di gestione remota legittimo utilizzato per la persistenza sulla rete”, ha osservato il gigante della tecnologia.

“Lo strumento di gestione puรฒ anche essere un punto di accesso per la messa in scena e la diffusione di ransomware.”

Viene utilizzato anche uno strumento noto come NSudo per avviare programmi con privilegi elevati e compromettere le difese aggiungendo valori di registro progettati per disabilitare le soluzioni antivirus.

L’uso di Google Ads per fornire BATLOADER in modo selettivo segna una diversificazione dei vettori di distribuzione del DEV-0569, consentendogli di raggiungere piรน obiettivi e fornire payload di malware, ha sottolineato la societร .

Posiziona ulteriormente il gruppo per fungere daย broker di accesso inizialeย per altre operazioni di ransomware, unendosi a malware comeย Emotetย ,ย IcedIDย ,ย Qakbotย .

“Poichรฉ lo schema di phishing di DEV-0569 abusa di servizi legittimi, le organizzazioni possono anche sfruttare le regole del flusso di posta per acquisire parole chiave sospette o rivedere ampie eccezioni, come quelle relative agli intervalli IP e agli elenchi consentiti a livello di dominio”, ha affermato Microsoft.

Fonte : https://thehackernews.com