Un groupe de ransomware notoire diffuse de fausses publicités Microsoft Teams pour piéger les victimes

Les utilisateurs recherchant Microsoft Teams doivent être particulièrement prudents ces derniers temps, car le groupe de ransomware Rhysida a diffusé de fausses publicités pour inciter les gens à télécharger des logiciels malveillants. La société de cybersécurité Expel a découvert que ces publicités trompeuses distribuent un type de malware appelé OysterLoader, auparavant connu sous les noms Broomstick et CleanUpLoader. Ce n’est pas la première fois que Rhysida se fait passer pour Microsoft Teams ; c’est en fait leur deuxième campagne en seulement un an et demi. OysterLoader agit comme un outil d’accès initial (IAT), ce qui signifie qu’une fois installé, il ouvre une porte dérobée sur l’appareil et le réseau de la victime, permettant aux attaquants de maintenir un accès à long terme.\n\nLa méthode d’attaque ici est assez ingénieuse et repose fortement sur le malvertising. Rhysida achète des publicités sur le moteur de recherche Bing qui semblent légitimes et dirigent les utilisateurs vers des pages de téléchargement qui paraissent officielles mais sont en réalité malveillantes. Aaron Walton, analyste en renseignement sur les menaces chez Expel, a expliqué que ces publicités facilitent la recherche et le téléchargement du malware par les victimes car il est directement visible dans les résultats de recherche. Bien que Microsoft Teams soit actuellement l’appât, le groupe a auparavant utilisé d’autres applications populaires comme PuTTY et Zoom pour attirer les victimes.\n\nPour compliquer la détection, Rhysida utilise des outils de compression qui masquent les véritables fonctions du malware, ce qui entraîne de faibles taux de détection lors de la première apparition du malware. Le groupe utilise également des certificats de signature de code généralement réservés aux éditeurs de logiciels authentiques. Cette astuce renforce la confiance accordée à leurs fichiers malveillants et les aide à éviter les soupçons immédiats. Fait intéressant, ces certificats sont souvent révoqués rapidement, ce qui aide en fait les sociétés de sécurité à repérer le début de nouvelles vagues de la campagne, car de nouveaux certificats indiquent la sortie de nouveaux lots de malware.\n\nOutre OysterLoader, Rhysida déploie également un autre malware appelé Latrodectus pour l’accès initial au réseau. Expel a observé cela lors de l’analyse de fichiers pour développer des règles de détection. Rhysida se distingue parmi les groupes cybercriminels car il utilise le service Trusted Signing de Microsoft pour obtenir des certificats de signature de code — un système conçu pour empêcher l’utilisation abusive des certificats. Il semble qu’ils aient trouvé des moyens de contourner les protections intégrées destinées à empêcher ce type d’abus.\n\nOriginaire sous le nom de Vice Society en 2021, le groupe a changé de nom pour Rhysida en 2023 et opère selon un modèle Ransomware as a Service (RaaS) avec une tactique de double extorsion. Depuis, ils ont publié environ 200 victimes sur leur site de fuite de données, incluant des agences gouvernementales, des prestataires de soins de santé et des infrastructures critiques. Parmi les victimes notables cette année figurent le Département de la Qualité Environnementale de l’Oregon, le Cookville Regional Medical Center au Tennessee, le Sunflower Medical Group au Kansas, et la Community Care Alliance axée sur la maladie mentale et la dépendance. Ils ont également ciblé le Département des Transports du Maryland et la British Library.\n\nCes développements soulignent les risques continus posés par des groupes de ransomware sophistiqués comme Rhysida, qui adaptent continuellement leurs tactiques pour échapper à la détection et maximiser leur impact. C’est un rappel sévère pour les organisations et les individus de rester vigilants, surtout lors du téléchargement de logiciels depuis des sources en ligne. Vérifiez toujours les liens de téléchargement via des canaux officiels pour éviter de tomber dans de tels pièges malveillants.