พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee

พบกลุ่มแรนซัมแวร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Bumblebee

 

 

 

 

 

 

 

Bumblebee เป็นตัวติดตั้งมัลแวร์ที่มีการค้นพบเมื่อเดือนเมษายน 2022 ถูกพัฒนาขึ้นโดยทีม Conti เพื่อแทนที่ BazarLoader backdoor ใช้สำหรับการเข้าถึงเครือข่ายและดำเนินการติดตั้งแรนซัมแวร์ โดยกำหนดเป้าหมายระดับองค์กร มีการแพร่กระจายผ่าน Google Ads และการโปรโมทซอฟต์แวร์ยอดนิยม เช่น Zoom, Cisco AnyConnect, ChatGPT และ Citrix Workspace ที่ถูกทำให้ติดอันดับการค้นหา

Google Ads เป็นแพลตฟอร์มช่วยโปรโมทโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

ในเดือนกันยายน 2022 มีการค้นพบตัวติดตั้งมัลแวร์เวอร์ชันใหม่ โดยใช้วิธีการโจมตีเฟรมเวิร์ก PowerSploit สำหรับแทรก DLL เข้าไปในหน่วยความจำเพื่อหลบหลีกการถูกตรวจพบโดยผลิตภัณฑ์ป้องกันไวรัส

นักวิจัยจาก Secureworks ได้ค้นพบ Google Ads ที่มีการโปรโมทหน้าดาวน์โหลดโปรแกรม Cisco AnyConnect Secure Mobility Client ปลอมที่ถูกสร้างขึ้นในวันพฤหัสบดีที่ 16 กุมภาพันธ์ 2023 ด้วยโฮสต์ที่อยู่บนโดเมน "appcisco[.]com" โดย SecureWorks กล่าวว่า “ห่วงโซ่ของการติดเชื้อเริ่มต้นด้วย Google Ads ที่เป็นอันตรายส่งผู้ใช้ไปยังหน้าดาวน์โหลดปลอมนี้ผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก"

 

 

 

 

 

 

 

 

 

หน้าเว็บไซต์ปลอมที่มีการโปรโมทมัลแวร์โทรจันไฟล์ MSI ที่มีชื่อว่า "cisco-anyconnect-4_9_0195.msi" ถูกใช้เพื่อติดตั้งมัลแวร์ BumbleBee โดยเมื่อดำเนินการจะมีการสร้างสำเนาของตัวติดตั้งโปรแกรมของจริงและปลอม (cisco2.ps1) และสคริปต์ Powershell จะถูกคัดลอกลงบนเครื่องผู้ใช้งาน

 

 

 

 

 

CiscoSetup.