La Secureworks Counter Threat Unit™ (CTU™) a découvert le malware Bumblebee distribué via des installateurs troyens dans une variété de logiciels d’entreprise populaires tels que Zoom, Cisco AnyConnect, ChatGPT et Citrix Workspace. Les utilisateurs finaux qui recherchent des logiciels légitimes sont amenés à installer le chargeur malveillant via de fausses pages de téléchargement propagées via des annonces Google malveillantes.

« Les travailleurs à distance peuvent chercher à installer de nouveaux logiciels sur leur poste de travail utilisé à domicile. Pour une solution rapide, ils pourraient chercher en ligne, plutôt que de passer par leur équipe technique – dans le cas où ils en disposeraient. Mais les recherches montrent que jusqu’à une publicité en ligne sur 100 contient du contenu malveillant », a déclaré Mike McLellan, directeur du renseignement, Secureworks CTU. "Alors que les gens recherchent de nouvelles technologies ou cèdent au buzz médiatique créé autour des nouvelles technologies tel que ChatGPT, Google apparaît comme le lieu idéal pour satisfaire ces demandes. Les publicités malveillantes renvoyées dans les résultats de recherche sont incroyablement difficiles à repérer, même pour une personne ayant des connaissances techniques approfondies. »

Dans un cas étudié par des chercheurs de la CTU, un utilisateur a suivi une annonce Google pour télécharger un programme d’installation VPN Cisco AnyConnect légitime qui avait été modifié pour contenir le logiciel malveillant Bumblebee. En quelques heures, un pirate a accédé à son système, a déployé des outils supplémentaires, notamment Cobalt Strike et un script de kerberoasting, et a tenté de se déplacer latéralement.

"D’après ce que nous avons vu, l’acteur menaçant avait probablement l’intention de déployer un rançongiciel. Heureusement, l’équipe de détection a détecté et arrêtés la tentative sur le réseau avant qu’ils ne puissent le faire."

"Le passage du phishing à Google Ads n’est pas si surprenant. Les adversaires suivent l’argent et la voie facile vers le succès, et si cela s’avère être un meilleur moyen d’accéder aux réseaux d’entreprise, ils l’exploiteront obligatoirement. Ce qu’il met en évidence, c’est l’importance de mettre en place des politiques strictes pour restreindre l’accès aux publicités Web ainsi que pour gérer les privilèges sur les téléchargements de logiciels, car les employés ne devraient pas avoir de privilèges pour installer des logiciels sur leurs ordinateurs de travail », a conclu McLellan.

Alors que les adversaires utilisent les publicités en ligne et l’infiltration du SEO, les organisations peuvent protéger leurs équipes et leur réseau en mettant en place des restrictions et des contrôles qui limitent la capacité des utilisateurs à cliquer sur Google Ads. Les organisations doivent également s’assurer que les programmes d’installation et les mises à jour de logiciels ne sont téléchargés qu’à partir de sites Web fiables et vérifiés.