Une campagne de publicité malveillante à grande échelle a distribué le logiciel malveillant Lumma Stealer, qui vole des informations via de fausses pages de vérification CAPTCHA qui invitent les utilisateurs à exécuter des commandes PowerShell pour vérifier qu’ils ne sont pas un bot.
La campagne a tiré parti du réseau publicitaire Monetag pour diffuser plus d’un million d’impressions publicitaires par jour sur trois mille sites Web.
L’opération malveillante, surnommée « DeceptionAds » par Guardio Labs et les chercheurs d’Infoblox, serait menée par l’acteur de la menace connu sous le nom de « Vane Viper ». »
Évolution de la tactique ClickFix
DeceptionAds peut être considéré comme une variante plus récente et plus dangereuse des attaques « ClickFix », où les victimes sont amenées à exécuter des commandes PowerShell malveillantes sur leur machine, s’infectant avec des logiciels malveillants.
Les acteurs de ClickFix ont utilisé des courriels de phishing, de fausses pages CAPTCHA sur des sites de logiciels pirates, des pages Facebook malveillantes et même des problèmes de GitHub redirigeant les utilisateurs vers des pages de destination dangereuses.
Ce que GuardioLabs a découvert est différent des opérations précédentes car il utilise de la publicité à grande échelle sur un réseau publicitaire légitime pour amener les utilisateurs sans méfiance naviguant sur le Web directement vers de fausses pages CAPTCHA.
Plus précisément, les acteurs de la menace utilisent le réseau publicitaire Monetag pour diffuser des publicités contextuelles faisant la promotion de fausses offres, téléchargements ou services, qui attirent généralement le public des sites hôtes, généralement des plateformes de streaming et de logiciels pirates.
Une fois que la victime clique sur l’annonce, le code masqué vérifie s’il s’agit d’une personne réelle et, s’il est validé, redirige le visiteur vers une fausse page CAPTCHA via le service de dissimulation BeMob.
Bien que Lemon soit utilisé à des fins légitimes, comme le suivi des performances des publicités, dans les « publicités trompeuses », il est utilisé uniquement à des fins d’évasion.
« En fournissant une URL bénigne BeMob au système de gestion des publicités de Monetag au lieu de la fausse page captcha directe, les attaquants ont exploité la réputation de BeMob, compliquant les efforts de modération de contenu de Monetag », explique Nati Tal, responsable de Guardio Labs.
La page CAPTCHA inclut un extrait JavaScript qui copie silencieusement une commande PowerShell malveillante d’une ligne dans le presse-papiers de l’utilisateur sans qu’il s’en rende compte.
Ensuite, la page fournit des instructions à la victime sur la façon de coller la « solution CAPTCHA » dans la boîte de dialogue Exécuter de Windows et de l’exécuter. Cette étape exécute la commande PowerShell, qui télécharge Lumma Stealer à partir d’un serveur distant et l’exécute sur l’appareil de la victime.
Lumma Stealer est un logiciel malveillant de vol d’informations avancé qui vole des cookies, des informations d’identification, des mots de passe, des cartes de crédit et l’historique de navigation de Google Chrome, Microsoft Edge, Mozilla Firefox et d’autres navigateurs Chromium.
Le logiciel malveillant peut également voler des portefeuilles de crypto-monnaie, des clés privées et des fichiers texte susceptibles de contenir des informations sensibles, tels que ceux nommés seed.sms, passe.txt, grand livre.sms, trezor.txt, métamasque.SMS, bitcoin.sms, mots, portefeuille.SMS,*.txt, et *.pdf.
Ces données sont collectées dans une archive et renvoyées à l’attaquant, où il peut utiliser les informations dans d’autres attaques ou les vendre sur des places de marché de la cybercriminalité.
GuardioLabs a signalé l’abus à grande échelle à la fois à Monetag et à BeMob. Le premier a réagi en supprimant 200 comptes utilisés par l’auteur de la menace en huit jours, tandis que le second a agi pour arrêter la campagne en quatre jours.
Bien que cela ait effectivement perturbé l’opération malveillante, GuardioLabs a observé une résurgence le 11 décembre, indiquant que les acteurs de la menace ont tenté de reprendre leurs opérations via un réseau publicitaire différent.
Les campagnes d’Infostealer sont devenues une opération mondiale massive au cours de l’année écoulée et peuvent être dévastatrices pour les utilisateurs et les organisations, entraînant des fraudes financières, des risques de confidentialité, des violations de données et des attaques de ransomware à grande échelle.
En mai, des acteurs de la menace ont utilisé des informations d’identification volées par des revendeurs d’informations pour mener les violations massives de comptes SnowFlake, qui ont touché de nombreuses entreprises, notamment Ticketmaster, AT & T et Advance Auto Parts.
Pour éviter les infections par infostealer, n’exécutez jamais de commandes demandées par les sites Web, en particulier celles qui prétendent être des correctifs ou des captchas.
De plus, l’utilisation de logiciels piratés ou de sites de streaming illégaux augmente la probabilité de telles infections, car les réseaux publicitaires qui les desservent ont une politique plus laxiste et les propriétaires de sites se soucient principalement de monétiser temporairement leur espace et leur trafic plutôt que de se bâtir une réputation de fiabilité.