Les chercheurs en cybersécurité de HP Wolf Security ont mis en garde contre plusieurs campagnes actives visant à diffuser différents types de logiciels malveillants (s’ouvre dans un nouvel onglet) à des victimes sans méfiance via des domaines typosquattés et des publicités malveillantes.
L’équipe expliquée dans un article de blog (s’ouvre dans un nouvel onglet) comment ils ont trouvé des acteurs de la menace créant plusieurs sites Web typosquattés se faisant passer pour des logiciels populaires tels qu’Audacity, Blender ou GIMP.
Les escrocs ont également payé différents réseaux publicitaires pour diffuser des publicités, faisant la promotion de ces faux sites Web. De cette façon, lorsque les gens recherchent ces programmes, les moteurs de recherche peuvent finir par proposer des versions malveillantes des sites Web juste à côté des sites légitimes. Si un utilisateur ne fait pas attention et ne vérifie pas l’URL du site Web qu’il visite, il peut se retrouver au mauvais endroit.
Faux installateurs
Si les victimes se retrouvent au mauvais endroit, elles remarqueront à peine la différence. Les sites Web sont conçus pour être presque identiques aux sites authentiques, jusque dans les moindres détails. Dans l’exemple d’Audacity, le site héberge un fichier .exe malveillant se faisant passer pour le programme d’installation du programme. Il s’appelle « audacity-win-x64.exe » et sa taille dépasse 300 Mo.
En étant aussi gros, les attaquants essaient d’éviter d’éveiller les soupçons (les logiciels malveillants sont généralement mesurés en Ko), mais essaient également d’éviter les programmes antivirus. Selon les chercheurs, les fonctionnalités d’analyse automatique de certains programmes antivirus n’analysent pas les fichiers extrêmement volumineux.
Les fichiers sont hébergés sur le service de stockage en nuage 4sync.com, ont déclaré les chercheurs, ajoutant que tous les faux installateurs de cette campagne y ont été hébergés, laissant entendre qu’un bon mécanisme de défense pourrait consister à bloquer entièrement l’accès à ce service.
Dans la campagne, différents types de logiciels malveillants sont distribués. Les plus grandes campagnes que les chercheurs ont vues ont utilisé cette approche de diffusion pour déployer le cheval de Troie IcedID, mais le voleur d’informations Vidar, BatLoader et Rhadamanthys Stealer ont tous été observés. Selon HP Wolf Security, il y a eu une augmentation de ces campagnes depuis novembre de l’année dernière.