Selon GBHackers Security, le gang de ransomware Rhysida (ex-Vice Society depuis 2023) conduit une campagne sophistiquée de malvertising qui livre le malware OysterLoader via des publicités de moteurs de recherche trompeuses, notamment des annonces payantes Bing, offrant aux attaquants un accès complet aux appareils et aux réseaux compromis.
Les annonces malveillantes se font passer pour des contenus liés à PuTTY, redirigeant les victimes vers une chaîne d’infection peaufinée par le groupe. Cette chaîne aboutit au déploiement d’OysterLoader, utilisé pour établir et maintenir l’accès sur les systèmes touchés.
Éléments clés:
- Acteur: Rhysida (anciennement Vice Society)
- Vecteur: Publicités payantes Bing et annonces de recherche trompeuses (malvertising)
- Leurre: Usurpation de PuTTY
- Charge utile: OysterLoader
- Impact: Accès total aux appareils et aux réseaux compromis
TTPs observés:
- Utilisation de publicités de recherche pour la distribution de malware (malvertising)
- Usurpation de marque (PuTTY) pour inciter au téléchargement
- Déploiement d’un loader (OysterLoader) pour prise de contrôle et persistance
IOCs:
- Aucun indicateur (hash, domaine, URL) n’est détaillé dans le contenu fourni.
Type d’article: Analyse de menace visant à décrire une campagne active et son mode opératoire.
🧠 TTPs et IOCs détectés
TTPs
Malvertising, Usurpation de marque, Déploiement de loader pour prise de contrôle et persistance
IOCs
Aucun indicateur (hash, domaine, URL) n’est détaillé dans le contenu fourni.
🔗 Source originale : https://gbhackers.com/malicious-putty-ads-deliver-oysterloader-allowing-attackers-full-device-and-network-access/