Les cybercriminels utilisent des publicités Google malveillantes pour attirer les ordinateurs…

eSentire, le principal fournisseur mondial de services de détection et de réponse gérées (MDR), avait précédemment suivi deux campagnes malveillantes (intitulées Gootloader et SolarMarker) qui ciblaient les professionnels à l’aide de la recherche Google tout au long de 2021, et maintenant les chercheurs d’eSentire ont identifié une troisième campagne qui emploie RedLine Stealer, un voleur d’informations. Selon l’équipe de recherche en sécurité d’eSentire, la Threat Response Unit (TRU), cette dernière campagne repose sur l’utilisation de publicités Google malveillantes et de pages Web qui reproduisent la page de téléchargement légitime pour les applications de chat sécurisées, telles que Signal (Image 5). En utilisant la fausse page Signal, l’objectif de cette campagne malveillante est d’inciter socialement les victimes à télécharger et à exécuter Redline Stealer. Les informations volées peuvent être vendues sur le dark web ou directement utilisées dans d’autres intrusions et campagnes de fraude. Des campagnes publicitaires Google malveillantes similaires ont récemment été observées en utilisant AnyDesk, DropBox et Telegram comme leurres.

En janvier 2021, suite à une mise à jour défavorable de ses conditions d’utilisation, les utilisateurs ont abandonné WhatsApp pour des alternatives ; ces utilisateurs ont principalement migré vers Signal et Telegram (voir image 1), selon les analystes. Dans un article du London Guardian, au cours des trois premières semaines de janvier, Signal a gagné 7,5 millions d’utilisateurs dans le monde, selon les chiffres partagés par la commission des affaires intérieures du Parlement britannique, et Telegram a gagné 25 millions au Royaume-Uni. Peu de temps après, les cybercriminels ont tiré parti des gains de marché résultants de Signal et Telegram pour déployer des publicités Google malveillantes. (Voir les images 2, 3, 4). Par exemple, lorsque la victime clique sur la publicité malveillante pour Signal, l’utilisateur de l’ordinateur est dirigé vers une réplique exacte de la page de téléchargement de Signal (voir l’image 5). En utilisant à la fois les données de point de terminaison et de journal, la TRU a observé un contact avec ces domaines publicitaires avant l’installation et l’exécution de RedLine Stealer (Image 7-10). Dans le cas de Telegram (Images 9-10), le nom du fichier n’était pas plus descriptif que « SETUP », mais peu de temps après l’incident, l’utilisateur a téléchargé une version légitime de Telegram, soutenant l’hypothèse que l’utilisateur cherchait une version de Telegram à télécharger.

La preuve que la fausse page Signal basée sur des publicités est malveillante est la suivante : la plupart des liens ne fonctionnent pas sur la fausse page Signal mais sur la vraie page Signal. Deuxièmement, le bouton de téléchargement sur la fausse page (le seul bouton qui fonctionne) dépend d’un script php inconnu contrôlé côté serveur ; la fausse page Signal a livré une version obsolète de Signal lorsque TRU a tenté le téléchargement, potentiellement en raison de la détection par le serveur des outils de sécurité utilisés (Encadré 1). Troisièmement, les domaines de premier niveau de la fausse page de téléchargement de Signal ne sont pas des domaines de premier niveau standard. Enfin, toutes les annonces suspectes partagent le fournisseur d’hébergement, NameCheap. Une analyse des paramètres d’enregistrement et d’hébergement sur un échantillon de sites suspects de la « même structure » (telle que définie par Urlscan) démontre le potentiel de plusieurs campagnes de publicité malveillante (Figure 11).

Le groupe de menaces à l’origine de cette campagne a probablement créé cette fausse page Signal pour convaincre davantage la victime qu’elle visite le site Web réel de Signal. Au lieu de recevoir le programme d’installation, ils reçoivent des scripts AutoIT (un programme Windows utilisé pour automatiser différentes fonctions) qui déploie ensuite RedLine Stealer.

La TRU a observé quatre cyberincidents dans deux organisations différentes de fin mars à début avril. Une entreprise est dans la profession juridique, tandis que l’autre est dans le secteur immobilier. Fait intéressant, lorsqu’un chercheur de TRU a cliqué sur les publicités Web malveillantes et a tenté de télécharger le programme d’installation de Signal, le chercheur a reçu une version plus ancienne (1.40.1) de Signal et de l’icône de Signal, via un script PHP suspect, à partir du site Web légitime de Signal ( signal.org). L’hypothèse de TRU est qu’ils n’ont pas été servis par RedLine car l’infrastructure des acteurs de la menace peut détecter les visiteurs provenant de machines virtuelles, par opposition à un ordinateur réel. Un indicateur potentiel indiquant que l’annonce Google fait partie de cette campagne est que les annonces Google malveillantes contiennent souvent des domaines de premier niveau (TLD) suspects tels que.digital,.link,.store et.club, mais incluent le nom de la cible. application de chat dans leur domaine (par exemple desktop-signal.store).

Les acteurs de la menace qui ont lancé ces campagnes malveillantes auraient dû dépenser de l’argent pour acheter des publicités Google. Le coût de ces annonces dépend de nombreuses variables, notamment la popularité du mot-clé (par exemple, Signal, Telegram, Viber) et la volonté des autres annonceurs de payer pour ce mot-clé dans leurs annonces. Bien que nous ne connaissions pas le montant total dépensé par les cybercriminels pour les annonces Google, nous savons que l’achat du mot-clé « Telegram » peut coûter 0,40 USD par clic, tandis que le mot-clé « Signal » peut coûter jusqu’à 1,40 USD par clic. Il est possible que le financement de ces achats publicitaires aient été eux-mêmes générés par les revenus de campagnes malveillantes précédentes.

Ces derniers incidents sont un autre exemple de la façon dont les téléchargements au volant deviennent un vecteur d’attaque populaire en 2021. Les acteurs de la menace développent leur capacité à détourner les utilisateurs d’ordinateurs lorsqu’ils font des affaires via la recherche Google. Au cours des six derniers mois, nous avons vu trois campagnes différentes impliquant des acteurs de la menace ciblant des utilisateurs d’ordinateurs et des professionnels sans méfiance avec des résultats de recherche Google malveillants. Outre la campagne RedLine mentionnée ici, les campagnes incluent la menace SolarMarker, où les professionnels étaient attirés vers des sites Web contrôlés par des pirates, hébergés sur Google Sites, à la recherche de modèles gratuits de formulaires commerciaux, tels que des factures, des questionnaires et des reçus. Plus récemment, le TRU a observé une campagne utilisant Gootloader, qui tentait d’infecter les professionnels en les attirant vers des pages Web censées héberger des exemples de différents accords commerciaux.

À propos du logiciel malveillant RedLine Stealer

Selon la société de recherche Proofpoint, le malware RedLine Stealer est apparu pour la première fois sur les marchés souterrains russes en mars 2020. Proofpoint a signalé que le malware était proposé à la vente avec plusieurs options de prix, notamment une version allégée pour 150 $, 200 $ pour la version pro, ou un 100 $. possibilité d’abonnement mensuel. RedLine vole les identifiants de connexion des navigateurs Internet, les mots de passe et les données de carte de crédit. Il a également été signalé qu’il est capable de voler des portefeuilles froids de crypto-monnaie. Redline extrait également des informations sur l’utilisateur de l’ordinateur, son appareil, y compris le nom d’utilisateur, son emplacement, la configuration matérielle et le logiciel de sécurité installé.

Points clés à retenir :

Commentaires de Spence Hutchinson, responsable des renseignements sur les menaces pour eSentire

« Les acteurs de la menace continuent de dépenser du temps et de l’argent pour capturer et infecter autant de victimes que possible. Ils dépensent de l’argent pour acheter des publicités Google (bien qu’ils puissent utiliser des cartes de crédit volées pour acheter l’espace publicitaire), et ils ont passé du temps à créer des publicités crédibles et des répliques presque exactes des pages de téléchargement pour certaines des applications de chat sécurisées les plus populaires, par exemple, Signal, Telegram, Viber, etc. a déclaré Spence Hutchinson, responsable des renseignements sur les menaces pour eSentire. Cela signale à notre équipe de recherche que  :

  • eSentire constate une tendance continue des résultats de recherche de Google à être empoisonnés par les campagnes Drive-by-Download dans la nature
    • Les campagnes Drive-By-Téléchargement deviennent un vecteur de menace de plus en plus populaire pour les cybercriminels. Autrefois, le malspam était la tactique privilégiée. Cependant, la tactique du drive-by-download semble gagner du terrain
    • o Les acteurs de la menace ont récemment eu du succès en utilisant diverses ressources commerciales (par exemple, en proposant des exemples d’accords commerciaux, des exemples de formulaires commerciaux et des moyens de télécharger des applications de chat sécurisées) comme leurres
  • Les équipes de sécurité internes de l’entreprise et les équipes de sécurité externes doivent s’assurer que les employés sont très conscients des différentes tactiques utilisées par les acteurs de la menace pour les attirer vers des pages Web malveillantes, des publicités malveillantes et des documents malveillants
  • Les utilisateurs doivent inspecter les domaines de résultats dans la recherche Google et vérifier qu’ils font confiance à l’adresse qu’ils sont sur le point de visiter, surtout s’ils recherchent quelque chose à télécharger
  • L’essentiel est que les employés doivent toujours se méfier des choses gratuites sur Internet, qu’il s’agisse de quelque chose d’aussi douteux que le craquage de logiciels ou quelque chose d’aussi inoffensif qu’un modèle de formulaire commercial, un accord ou un service de chat sécurisé gratuit. Chaque mois, les acteurs de la menace trouvent de nouvelles façons d’intercepter l’utilisation de Google par votre entreprise pour trouver des éléments gratuits à télécharger

Image 1 : Un saut dans les recherches de Google pour Telegram et Signal suite aux nouvelles du changement de WhatsApp en termes de service.

Image 2. Annonces suspectes résultant de la recherche du mot « signal » sur

Image 3 : Annonces suspectes résultant de la recherche du mot « Telegram »

Image 4 : Annonces suspectes résultant de la recherche du mot « Viber »

Image 5 : page malveillante (http://desktop-signal[.]digital/) se faisant passer pour la page de téléchargement légitime de Signal. Télécharger les références Script PHP vraisemblablement utilisé pour le filtrage.

]le numérique est marqué comme hameçonnage par CloudFlare

Image 7 : via les données de journal, minutes de domaine publicitaire suspect avant l’activation de Fake Signal.

Image 8 : RedLine Stealer apparaît à partir du téléchargement présumé de Signal, intitulé SIGNAL-WIN-53973.EXE

Image 9 : minutes du domaine publicitaire suspect avant l’activation d’un fichier d’installation

Image10  : Fichier d’installation menant au comportement de RedLine Stealer

Image 11 : Enregistrement et propriétés d’infrastructure des annonces suspectes

Pour plus d’informations sur cette menace et comment s’en protéger, rendez-vous sur https://www.esentire.com/get-started

Tags: ,