Se si cerca ‘installazione di applicazioni di produttività gratuita‘ o ‘installazione di strumenti di sviluppo software gratuiti‘ in un motore di ricerca, bisogna fare molta attenzione perchè queste query di ricerca fanno parte di una vasta strumentazione di parole chiave SEO per attirare vittime su un sito web compromesso con il fine di indurre a scaricare un programma di installazione dannoso.
Negli attacchi SEO poisoning, i criminali aumentano artificialmente il ranking dei motori di ricerca dei siti web (genuini o meno) che ospitano il loro malware per farli apparire in cima ai risultati di ricerca in modo che gli utenti che cercano app specifiche come TeamViewer, Visual Studio e Zoom siano infettati dal malware.
Il programma di installazione, pur confezionando il software legittimo, è anche fornito in bundle con il payload BATLOADER che viene eseguito durante il processo di installazione.
Il malware agisce quindi come un trampolino di lancio per ottenere ulteriori informazioni sull’organizzazione mirata, scaricando gli eseguibili successivi che propagano la catena di infezione a più stadi. Uno di questi eseguibili è una versione manomessa di un componente interno di Microsoft Windows che viene aggiunto con un VBScript dannoso. L’attacco successivamente sfrutta una tecnica chiamata esecuzione proxy binaria firmata per eseguire il file DLL utilizzando l’utilità legittima “Mshta.exe“.
Questo si traduce nell’esecuzione del codice VBScript, innescando efficacemente la fase successiva dell’attacco in cui vengono consegnati ulteriori payload come Atera Agent, Cobalt Strike Beacon e Ursnif nelle fasi successive per aiutare a eseguire la ricognizione remota, l’escalation dei privilegi e la raccolta delle credenziali. Inoltre, in un segno che gli operatori hanno sperimentato diversi stratagemmi, una variante alternativa della stessa campagna ha consegnato il software di gestione del monitoraggio remoto Atera direttamente come conseguenza della compromissione iniziale per ulteriori attività post-exploitation.
Mandiant ha anche sottolineato le sovrapposizioni degli attacchi con quelle delle tecniche adottate dalla banda del ransomware Conti, che sono state pubblicizzate nell’agosto 2021. “In questo momento, a causa del rilascio pubblico di queste informazioni, altri attori non affiliati potrebbero replicare le tecniche per i propri motivi e obiettivi”, hanno detto i ricercatori.
