Les acteurs malveillants utilisent les modèles de suivi Google Ads comme faille pour créer des publicités de recherche de logiciels Webex convaincantes qui redirigent les utilisateurs vers des sites Web distribuant le malware BatLoader.
Webex est une suite de vidéoconférence et de centre de contact qui fait partie du portefeuille de produits de collaboration de Cisco et utilisée par les entreprises et les entreprises du monde entier.
Malwarebytes rapporte que la campagne de publicité malveillante est active dans la recherche Google depuis une semaine, les acteurs de la menace semblant provenir du Mexique.
Campagne publicitaire Google malveillante
Malwarebytes rapporte qu’une publicité Google malveillante usurpe l’identité du portail de téléchargement officiel Webex, se classant à la position la plus élevée dans les résultats de recherche Google pour le terme « webex ».
Ce qui donne à la publicité un aspect légitime, c’est qu’elle utilise le véritable logo Webex et affiche l’URL légitime, « webex.com », comme destination du clic. Ces composants publicitaires donnent à la publicité une apparence légitime et impossible à distinguer d’une véritable publicité de Cisco.
Les acteurs malveillants peuvent exploiter une faille dans le modèle de suivi de la plateforme Google Ads qui leur permet de rediriger à volonté tout en respectant la politique de Google.
Plus précisément, Google indique que les annonceurs peuvent utiliser des modèles de suivi avec des paramètres d’URL qui définissent un processus de construction d’une « URL finale » basé sur les informations utilisateur recueillies concernant leur appareil, leur emplacement et d’autres mesures liées aux interactions publicitaires.
La politique exige que l’URL d’affichage d’une annonce et l’URL finale appartiennent au même domaine. Pourtant, rien n’empêche le modèle de suivi de rediriger les utilisateurs vers un site Web en dehors du domaine indiqué.
Dans ce cas, les auteurs de la menace ont utilisé une URL Firebase (« trixwe.page.link ») comme modèle de suivi, avec une URL finale de https://www.webex.com.
Cependant, si l’utilisateur clique sur l’annonce, le visiteur est redirigé vers le lien « trixwe.page[.]link », qui filtre les visites qui semblent provenir de chercheurs et de robots d’exploration automatisés.
Si l’utilisateur souhaite cibler, il sera redirigé vers le site « monoo3at[.]com », où des vérifications supplémentaires sont effectuées pour déterminer s’il s’agit de victimes potentielles ou de chercheurs utilisant un bac à sable.
Si le visiteur fait partie des acteurs malveillants qui souhaitent cibler, il sera redirigé vers un site de suppression de logiciels malveillants à l’adresse « webexadvertisingoffer[.]com », tandis que tous les autres seront redirigés vers le site légitime « webex.com » de Cisco.
Faux installateur Webex
Si les visiteurs de la fausse page Webex cliquent sur les boutons de téléchargement, ils reçoivent un programme d’installation MSI qui génère plusieurs processus et exécute des commandes PowerShell pour installer le malware BatLoader.
Ce malware finira par récupérer, décrypter et exécuter une charge utile supplémentaire de malware DanaBot.
DanaBot est un cheval de Troie bancaire modulaire qui circule dans la nature depuis 2018, avec la capacité de voler des mots de passe, de prendre des captures d’écran, de charger des modules de ransomware, de masquer le trafic C2 malveillant et de donner un accès direct aux hôtes compromis via HVNC.
Les personnes infectées par DanaBot verront leurs informations d’identification volées et envoyées aux attaquants, qui les utiliseront pour d’autres attaques ou les vendront à d’autres acteurs malveillants.
Lorsque vous recherchez un logiciel source, il est recommandé de toujours ignorer les résultats promus dans la recherche Google et de télécharger uniquement directement à partir du développeur du logiciel ou d’un site de confiance bien connu.