Ce malware se propage par le biais de faux téléchargements.
Des chercheurs en cybersécurité révèlent une campagne récemment découverte qui utilise des logiciels malveillants personnalisés pour voler les noms d’utilisateur, les mots de passe et d’autres informations sensibles des victimes.
Les cybercriminels utilisent de fausses versions de publicités en ligne de logiciels populaires pour inciter les utilisateurs à télécharger trois formes de logiciels malveillants, y compris des extensions de navigateur malveillantes qui ont les mêmes fonctionnalités que les chevaux de Troie. . PC Windows.
L’attaque, qui distribue deux formes de logiciels malveillants développés sur mesure et clairement non documentés, a été décrite en détail par le chercheur en cybersécurité de Cisco Talos, qui a qualifié la campagne de “grand jeu”. Depuis 2018, la campagne fonctionne d’une manière ou d’une autre et le malware semble se développer continuellement. Plus de la moitié des victimes sont au Canada, mais il y a des victimes partout dans le monde, que ce soit aux États-Unis, en Europe, en Australie ou au Nigéria.
Les chercheurs pensent que les victimes sont amenées à télécharger des logiciels malveillants via des publicités en ligne malveillantes et à télécharger de faux installateurs de logiciels populaires dans leurs systèmes. Les utilisateurs peuvent rechercher une version légitime du logiciel, mais la publicité mène à une version malveillante.
Fausses versions de Viber et WeChat
Les logiciels que les utilisateurs sont amenés à télécharger comprennent de fausses versions d’applications de messagerie telles que Viber et WeChat, ainsi que de faux programmes d’installation pour les jeux vidéo populaires tels que Battlefield. Le programme d’installation n’installe pas le logiciel annoncé, mais il installe trois formes de logiciels malveillants : les voleurs de mots de passe, les portes dérobées et les extensions de navigateur malveillantes qui peuvent enregistrer et prendre des captures d’écran des frappes au clavier. L’écran de ce que l’utilisateur infecté regarde.
Le voleur de mot de passe distribué dans l’attaque est connu sous le nom de Redline. Il s’agit d’un malware relativement courant qui vole tous les noms d’utilisateur et mots de passe trouvés sur les systèmes infectés. Tycoon a précédemment distribué un autre voleur de mots de passe, Azorult. Le passage à Redline, comme de nombreuses autres formes de logiciels malveillants, peut être dû au fait qu’Azorult ne fonctionne pas correctement après la sortie de Chrome 80 en février 2020.
Les voleurs de mots de passe sont tous deux des logiciels malveillants de base prêts à l’emploi, mais le programme d’installation de porte dérobée auparavant non documenté (les chercheurs l’appellent MagnatBackdoor) semble être une forme de logiciel plus personnalisée. La distribution est suspendue depuis plusieurs mois.
TycoonBackdoor
MagnatBackdoor configure un système Windows infecté pour permettre un accès furtif au protocole RDP (Remote Desktop Protocol), ajoute de nouveaux utilisateurs et programme le système pour envoyer des commandes ping et contrôler les serveurs régulièrement. Les portes dérobées permettent à un attaquant d’accéder secrètement à un PC à distance si nécessaire.
La troisième charge utile est un téléchargeur d’extension Google Chrome malveillant, que les chercheurs ont nommé l’extension Magnat. L’extension a été fournie par l’attaquant et non par le magasin d’extensions Chrome.
Cette extension comprend divers moyens de voler des données directement dans un navigateur Web, tels que la prise de captures d’écran, le vol de cookies, le vol d’informations saisies dans des formulaires et des enregistreurs de frappe qui enregistrent tout ce qu’un utilisateur saisit dans un navigateur. Toutes ces informations sont ensuite renvoyées à l’attaquant.
cheval de Troie bancaire :
Les chercheurs ont comparé la fonctionnalité de l’extension avec un cheval de Troie bancaire. Ils suggèrent que le but ultime du malware est d’obtenir des informations d’identification d’utilisateur à vendre sur le dark web ou pour une exploitation ultérieure par des attaquants. Les cybercriminels derrière Magnat Backdoor et Magnat Extension ont passé des années à développer et à mettre à jour des logiciels malveillants et pourraient continuer à le faire.
Tiago Pereira, chercheur en sécurité chez Cisco Talos, a déclaré :
« Nous pensons que ces campagnes utilisent la publicité malveillante comme moyen d’atteindre les utilisateurs intéressés par des mots-clés liés aux logiciels et fournissent des liens pour télécharger des logiciels populaires. Les menaces sont très efficaces et nécessitent la mise en œuvre de plusieurs couches de contrôles de sécurité telles que la protection des terminaux, le réseau filtrage, et des séances de sensibilisation à la sécurité », explique-t-il.
Pour plus d’information : https://francenewslive.com/ce-malware-se-propage-par-le-biais-de-faux-telechargements/486281/
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram