Il gruppo BlackCat è noto per l’omonimo ransomware, ma prima di installare il payload finale vengono sfruttati vari tool per accedere al sistema ed effettuare la scansione della rete interna. I ricercatori di Trend Micro hanno scoperto una nuova campagna di malvertising che sfrutta la notorietà di WinSCP per ingannare le ignare vittime.
Siti fake di WinSCP
WinSCP è un client FTP/SFTP open source e file manager con supporto SSH. Quando l’utente cerca “WinSCP download” su Google o Bing, tra i risultati ci sono link sponsorizzati a siti che spiegano come utilizzare il software. Dalla pagina iniziale viene redirezionato verso un sito fasullo, simile a quello legittimo, che contiene il pulsante di download.
La vittima scarica però un’immagine ISO che contiene i file setup.exe
e msi.dll
. Eseguendo il primo (msiexec.exe
con nome diverso) viene caricato in memoria il secondo, ovvero un dropper che copia su disco l’installer legittimo di WinSCP e il file python310.dll
. Quest’ultimo è un beacon Cobalt Strike che si collega al server C2C (command and control). Viene inoltre aggiunga una chiave nel registro per la persistenza.
A questo punto, i cybercriminali eseguono altre operazioni con vari tool, tra cui AdFind (cerca informazioni su Active Directory), Findstr (cerca password nei file XML) e KillAV BAT (disabilita gli antivirus). Vengono usati anche script PowerShell per rubare dati. In alcuni casi, il gruppo BlackCat sfrutta il famigerato Terminator, un potente tool che disattiva gli antivirus (viene venduto a 3.000 dollari nel dark web).