Une campagne de publicité malveillante récemment repérée a trompé les utilisateurs avec une simulation de mise à jour Windows dans le navigateur pour fournir le logiciel malveillant de vol d’informations Aurora.

Écrit en Golang, Aurora est disponible sur divers forums de pirates depuis plus d’un an, présenté comme un voleur d’informations doté de capacités étendues et d’une détection antivirus faible.

Selon les chercheurs de Malwarebytes, l’opération de malvertising s’appuie sur des publicités popunder sur des sites Web de contenu pour adultes avec un contenu pour adultes à fort trafic et redirige les victimes potentielles vers un emplacement de diffusion de logiciels malveillants.

Pas une mise à jour Windows
Les publicités Popunder sont des publicités « pop-up » bon marché qui se lancent derrière la fenêtre active du navigateur, restant cachées à l’utilisateur jusqu’à ce qu’il ferme ou déplace la fenêtre principale du navigateur.

En décembre de l’année dernière, Google a signalé que des popunders avaient été utilisés dans une campagne de fraude publicitaire qui avait rassemblé des centaines de milliers de visiteurs et des dizaines de millions d’impressions publicitaires frauduleuses.

Le plus récent repéré par Malwarebytes a un impact beaucoup plus faible, avec près de 30 000 utilisateurs redirigés et près de 600 ont téléchargé et installé le malware voleur de données sur leurs systèmes.

Cependant, l’acteur de la menace a eu une idée imaginative où le popunder rend une fenêtre de navigateur plein écran qui simule un écran de mise à jour du système Windows.

  • activessd[.]ru
  • chistauyavoda[.]ru
  • xxxxxxxxxxxxxxx[.]ru
  • activehdd[.]ru
  • oled8kultra[.]ru
  • xhamster-18[.]ru
  • oled8kultra[.]site
  • activessd6[.]ru
  • activedebian[.]ru
  • shluhapizdec[.]ru
  • 04042023[.]ru
  • clickaineasdfer[.]ru
  • moskovpizda[.]ru
  • pochelvpizdy[.]ru
  • evatds[.]ru
  • click7adilla[.]ru
  • grhfgetraeg6yrt[.]site

Tous ont servi à télécharger un fichier nommé « ChromeUpdate.exe », révélant la tromperie de l’écran du navigateur en plein écran ; cependant, certains utilisateurs ont tout de même été amenés à déployer l’exécutable malveillant

Nouveau chargeur de logiciels malveillants
Le prétendu programme de mise à jour de Chrome est un chargeur de logiciels malveillants dit « entièrement indétectable » (FUD) appelé « Imprimante invalide » qui semble être utilisé exclusivement par cet acteur de menace particulier.

Malwarebytes indique que lorsque ses analystes ont découvert une « imprimante invalide », aucun moteur antivirus sur Virus Total ne l’a signalé comme malveillant. La détection a commencé à reprendre quelques semaines plus tard, suite à la publication d’un rapport pertinent de Morphisec.

L’imprimante non valide vérifie d’abord la carte graphique de l’hôte pour déterminer si elle s’exécute sur une machine virtuelle ou dans un environnement sandbox. Si ce n’est pas le cas, il déballe et lance une copie du voleur d’informations Aurora, ont découvert les chercheurs.

Malwarebytes commente que l’acteur de la menace derrière cette campagne semble être particulièrement intéressé par la création d’outils difficiles à détecter, et ils téléchargent constamment de nouveaux échantillons sur Virus Total pour vérifier comment ils se comportent par rapport aux moteurs de détection.

Jérôme Segura, directeur des renseignements sur les menaces chez Malwarebytes, a remarqué que chaque fois qu’un nouvel échantillon était soumis pour la première fois à Virus Total, il provenait d’un utilisateur en Turquie et que « dans de nombreux cas, le nom du fichier semblait provenir du compilateur (c’est-à-dire build1_enc_s.exe). »

Une enquête plus approfondie a révélé que l’acteur de la menace utilise également un panneau Amadey, indiquant potentiellement l’utilisation de l’outil de reconnaissance et de chargement de logiciels malveillants bien documenté, et exécute également des escroqueries au support technique ciblant les Ukrainiens.

Malwarebytes fournit une analyse technique de l’installation et du comportement des logiciels malveillants, ainsi qu’un ensemble d’indicateurs de compromission que les entreprises et les fournisseurs de sécurité peuvent utiliser pour défendre leurs utilisateurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *