Colin-Thierry
Microsoft a révélé la semaine dernière qu'un groupe de menaces identifié comme DEV-0569 était à l'origine d'une nouvelle vague de Royal ransomware et d'autres logiciels malveillants déployés via des liens de phishing, des sites Web d'apparence légitime et Google Ads.
Le contournement des solutions de sécurité est un aspect où les acteurs de la menace sont parfois confrontés à des défis. Une façon de contourner ces solutions consiste à tromper les utilisateurs pour les laisser entrer en cliquant sur des liens malveillants ou en téléchargeant des logiciels nuisibles.
DEV-0569 utilise ces deux techniques contre les utilisateurs qu'elles ciblent. Le groupe de menaces crée des sites Web de phishing, utilise des formulaires de contact sur des organisations ciblées, héberge des installateurs sur des sites de téléchargement qui semblent légitimes et déploie Google Ads.
"L'activité DEV-0569 utilise des binaires signés et fournit des charges utiles de logiciels malveillants cryptés," expliqué Microsoft dans sa déclaration de la semaine dernière. Le groupe est également connu pour utiliser fortement les techniques d'évasion de la défense et a continué à utiliser l'outil open source Nsudo pour tenter de désactiver les solutions antivirus récemment dans les campagnes.
"DEV-0569 s'appuie notamment sur des liens de publicité malveillants et de phishing qui pointent vers un téléchargeur de logiciels malveillants se faisant passer pour des installateurs de logiciels ou des mises à jour intégrées dans des spams, de fausses pages de forum et des commentaires de blog", a ajouté le géant de la technologie.
L'un des principaux objectifs de DEV-0569 est d'accéder à des appareils au sein de réseaux sécurisés, ce qui leur permettrait de déployer Royal ransomware. En conséquence, le groupe pourrait devenir un courtier d'accès pour d'autres opérateurs de ransomwares en vendant l'accès dont ils disposent à d'autres pirates.
De plus, le groupe utilise Google Ads pour étendre sa portée et se fondre dans le trafic Internet légitime.
"Les chercheurs de Microsoft ont identifié une campagne de publicité malveillante DEV-0569 exploitant Google Ads qui pointe vers le système de distribution de trafic légitime (TDS) Keitaro, qui offre des capacités pour personnaliser les campagnes publicitaires via le suivi du trafic publicitaire et le filtrage basé sur l'utilisateur ou l'appareil", a déclaré la société. . "Microsoft a observé que le TDS redirige l'utilisateur vers un site de téléchargement légitime, ou sous certaines conditions, vers le site de téléchargement malveillant BATLOADER."
Cette stratégie permet ainsi aux acteurs de la menace de contourner les plages d'adresses IP des solutions de sandboxing de sécurité connues en envoyant des logiciels malveillants à des cibles et des adresses IP spécifiques.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Détectives de sécurité
- VPN
- la sécurité d'un site web
- zéphyrnet
