Publicité Malveillante : Un Faux Portail D’Actualités Windows Utilisé Pour Propager Un Programme D’Installation Nuisible

« Cet incident fait partie d’une campagne de publicité malveillante plus large qui cible d’autres utilitaires comme Notepad++, Citrix et VNC Viewer, comme le montre son infrastructure (noms de domaine) et les modèles de dissimulation utilisés pour éviter la détection », a déclaré Jérôme Segura de Malwarebytes.

Alors que les campagnes de malvertising sont connues pour mettre en place des répliques de sites annonçant des logiciels largement utilisés, cette dernière activité marque une déviation dans la mesure où le site Web imite WindowsReport[.]com.

L’objectif est de tromper les utilisateurs peu méfiants qui recherchent CPU-Z sur des moteurs de recherche tels que Google en diffusant des publicités malveillantes qui, lorsqu’elles sont cliquées, les redirigent vers le faux portail (workspace-app[.]online). Dans le même temps, les utilisateurs qui ne sont pas les victimes prévues de la campagne se voient proposer un blog inoffensif contenant des articles différents, une technique connue sous le nom de cloaking (dissimulation).

Le programme d’installation MSI signé qui est hébergé sur le site Web frauduleux contient un script PowerShell malveillant, un chargeur connu sous le nom de FakeBat (alias EugenLoader), qui sert d’intermédiaire pour déployer RedLine Stealer sur l’hôte compromis.

« Il est possible que l’auteur de la menace ait choisi de créer un site leurre ressemblant à Windows Report, car de nombreux logiciels utilitaires sont souvent téléchargés à partir de ces portails au lieu de leur page web officielle », a indiqué M. Segura. Ce n’est pas la première fois que des publicités Google trompeuses pour des logiciels populaires se révèlent être un vecteur de distribution de logiciels malveillants. La semaine dernière, la société de cybersécurité eSentire a révélé les détails d’une campagne Nitrogen mise à jour qui ouvre la voie à une attaque de ransomware BlackCat. Deux autres campagnes documentées par l’entreprise canadienne de cybersécurité montrent que la méthode de téléchargement « drive-by », qui consiste à diriger les utilisateurs vers des sites web douteux, a été utilisée ces derniers mois pour propager diverses familles de logiciels malveillants telles que NetWire RAT, DarkGate et DanaBot. Cette évolution intervient alors que les acteurs de la menace continuent de s’appuyer de plus en plus sur des kits d’hameçonnage de type « adversary-in-the-middle » (AiTM) tels que NakedPages, Strox et DadSec pour contourner l’authentification multifactorielle et détourner les comptes ciblés. Pour couronner le tout, eSentire a également attiré l’attention sur une nouvelle méthode, l’attaque Wiki-Slack, qui vise à diriger les victimes vers un site web contrôlé par l’attaquant en défigurant la fin du premier paragraphe d’un article de Wikipédia et en le partageant sur Slack. Plus précisément, cette attaque exploite une bizarrerie de Slack qui « gère mal l’espace entre le premier et le deuxième paragraphe » pour générer automatiquement un lien lorsque l’URL de Wikipédia est affichée sous forme d’aperçu dans la plateforme de messagerie de l’entreprise. Il convient de souligner qu’une condition préalable essentielle pour réussir cette attaque est que le premier mot du deuxième paragraphe de l’article de Wikipédia doit être un domaine de premier niveau (par exemple, in , at , com , ou net ) et que les deux paragraphes doivent apparaître dans les 100 premiers mots de l’article . Avec ces restrictions ,

une menace pourrait utiliser ce comportement comme une arme, de sorte que

Rejoignez-nous pour notre webinaire Participez à une conversation avec des gourous de la sécurité et découvrez les technologies qui protègent vos applications web des attaques furtives.