Une campagne du groupe malveillant PikaBot imitant le logiciel AnyDesk est utilisé par un groupe cybercriminel très actif
décembre 21, 2023
1 minute de lecture
Dans un rapport publié le 15 décembre 2023, les chercheurs de Malwarebytes ont mis en garde contre une campagne publicitaire malveillante visant à délivrer le rançongiciel BlackBasta. Ce programme malveillant découvert pour la première fois en février 2023 au sein d’une campagne orchestrée par le groupe TA577 est connu pour ses opérations liées au progamme malveillant DuckTail,
Comment fonctionne la campagne PikaBot ?
PikaBot est disséminé via de faux sites imitant l’application légitime AnyDesk. Ces faux sites sont mis en avant par l’achat de mots-clés Google Ads. Les victimes, pensant télécharger l’application officielle, se retrouvent en réalité avec un installeur Windows disposant d’une signature authentique conçue pour échapper à la détection des outils de sécurité.
Autres vecteurs d’attaque observés
Outre la méthode basée sur les faux sites, PikaBot a également été repéré dans des campagnes reposant sur des e-mails de phishing. Ces e-mails contiennent des liens redirigeant les victimes vers des sites Web hébergeant des fichiers au format ZIP. Les chercheurs de HarfangLab ont récemment alerté sur la distribution de PikaBot via ce canal, ciblant des hôpitaux et des collectivités locales en France, ainsi que d’autres entités en Italie.
À l’ouverture du fichier ZIP, un script JavaScript malveillant est activé, téléchargeant le cadriciel d’attaque Cobalt Strike, avec pour objectif final de déployer le rançongiciel BlackBasta.
Mesures de protection et recommandations
Face à ce type de campagne, il faut rester vigilant. Évitez de télécharger des applications à partir de sources non fiables (non officielles) et soyez particulièrement attentifs aux e-mails suspects.
Partager :