Il y a une augmentation du nombre d’infections par les voleurs d’informations répandus qui circulent actuellement sur le net. Une explication à cela réside dans le potentiel d’abus de Google Adwords pour promouvoir le malware via des publicités au paiement par clic (PPC) sur la recherche Google. Morphisec l’a confirmé après que ses chercheurs ont décidé d’analyser le phénomène et de déterminer les spécificités techniques qui aident à pousser les voleurs d’informations comme « Redline », « Taurus », « Tesla » et « Amadey ».
Selon le rapport Morphisec, les résultats de la recherche Google qui ont été liés à des logiciels malveillants concernent des termes tels que AnyDesk, Dropbox et Telegram, tandis que les packages d’installation sont « bizarrement » emballés sous forme de fichiers image ISO.
La plupart des publicités PPC qui font la promotion des voleurs d’informations de cette manière apparaissent sur la première page des résultats de recherche, ce qui rend la tâche encore plus délicate pour les internautes. De plus, l’acteur aime configurer Adwords pour cibler des plages d’adresses IP aux États-Unis et dans d’autres pays prolifiques, de sorte que les adresses IP non ciblées sont redirigées vers des pages légitimes pour télécharger le vrai logiciel, pas les logiciels malveillants.
Source : Morphisec Lors du montage du fichier image ISO, la victime ouvre le dossier extrait, qui contient des exécutables signés numériquement et vérifiés avec des certificats Cloudflare ou Sectigo. Cela permet d’éviter les drapeaux AV, tandis que la taille ISO, qui est généralement supérieure à 100 Mo, est également utile sur cette partie. Les exécutables ont également plusieurs couches d’obscurcissement, le cas de la « Redline » comportant quatre couches individuelles.
Et enfin, les voleurs d’informations utilisés disposent de techniques d’anti-analyse telles que la détection de la virtualisation et les contrôles d’évasion via WMI.
Source : Morphisec Les sites Web qui reçoivent le trafic des publicités PPC sont les suivants, donc si vous tombez sur l’un d’entre eux, ne téléchargez rien.
- hxxps://me.anydesk-pro[.]com/
- hxxps://desklop.telegram-home[.]com/
- hxxps://pc.anydesk-go[.]com/
- hxxps://desklop.anydesk-nouveau[.]com/
- hxxps://desklop.pc-whatisapp[.]com/
- hxxps://anydesk-en-téléchargements[.]com/
- hxxps://anydesk-one[.]com/
- hxxps://anydesk-top[.]com/
- hxxps://anydesk-connect[.]com/
- hxxps://anydesk-vip[.]com/
Bien sûr, les adversaires peuvent changer de site de distribution et d’applications d’accrochage à tout moment, la vigilance doit donc être un élément constant lors de la navigation en ligne et de la recherche de fichiers d’installation. Avec des acteurs payant plusieurs milliers d’USD pour abuser de Google Adwords et ayant en quelque sorte la capacité d’arracher des certificats légitimes, il semble que même les meilleurs résultats de recherche ne soient pas fiables.