À l’aide de techniques de chargement latéral de DLL, un code malveillant est injecté pour permettre aux attaquants d’accéder à l’ordinateur de la victime. Les principaux objectifs sont d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et d’implanter le ransomware BlackCat.

En plus de fournir le logiciel annoncé, le fichier ISO malveillant contient une archive ZIP contenant un exécutable Python et ses dépendances. Une bibliothèque de liens dynamiques (DLL) chargée par l’exécutable Python exécute un code malveillant qui permet à l’attaquant d’accéder à l’ordinateur de la victime.

L’objectif principal de la campagne est d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et de mettre en place un ransomware.

Principales conclusions :
– Bitdefender a découvert une campagne de publicité malveillante ciblant les entreprises qui s’appuie sur la popularité d’applications professionnelles largement utilisées pour diriger les victimes (via des publicités malveillantes) vers de fausses pages de téléchargement dans le but d’infecter les ordinateurs.

– La campagne est active depuis (au moins) mai 2023 et vise principalement l’Amérique du Nord.

– L’objectif de la campagne est d’obtenir des informations d’identification, d’établir une persistance, d’exfiltrer des données (à des fins d’extorsion) et d’implanter un ransomware. Bitdefender a été témoin de tentatives de déploiement du ransomware BlackCat.

– Bitdefender recommande vivement aux entreprises, en particulier en Amérique du Nord, de rester en alerte car la campagne est toujours active. L’entreprise recommande également aux entreprises et d’appliquer les indicateurs de compromissions présentés dans cette étude qui inclut le whitepaper téléchargeable.