Les informations volées peuvent être vendues sur le dark web ou directement utilisées dans d’autres intrusions et campagnes de fraude. Des campagnes publicitaires Google malveillantes similaires ont récemment été observées en utilisant AnyDesk, DropBox et Telegram comme leurres.
La preuve que la fausse page Signal basée sur des publicités est malveillante est la suivante : la plupart des liens ne fonctionnent pas sur la fausse page Signal mais sur la vraie page Signal. Deuxièmement, le bouton de téléchargement sur la fausse page (le seul bouton qui fonctionne) dépend d’un script php inconnu contrôlé côté serveur ; la fausse page Signal a livré une version obsolète de Signal lorsque TRU a tenté le téléchargement, potentiellement en raison de la détection par le serveur des outils de sécurité utilisés (Encadré 1). Troisièmement, les domaines de premier niveau de la fausse page de téléchargement de Signal ne sont pas des domaines de premier niveau standard. Enfin, toutes les annonces suspectes partagent le fournisseur d’hébergement, NameCheap. Une analyse des paramètres d’enregistrement et d’hébergement sur un échantillon de sites suspects de la « même structure » (telle que définie par Urlscan) démontre le potentiel de plusieurs campagnes de publicité malveillante (Figure 11).
Le groupe de menaces à l’origine de cette campagne a probablement créé cette fausse page Signal pour convaincre davantage la victime qu’elle visite le site Web réel de Signal. Au lieu de recevoir le programme d’installation, ils reçoivent des scripts AutoIT (un programme Windows utilisé pour automatiser différentes fonctions) qui déploie ensuite RedLine Stealer.
le chercheur a reçu une version plus ancienne (1.40.1) de Signal et de l’icône de Signal, via un script PHP suspect, à partir du site Web légitime de Signal ( signal.org). L’hypothèse de TRU est qu’ils n’ont pas été servis par RedLine car l’infrastructure des acteurs de la menace peut détecter les visiteurs provenant de machines virtuelles, par opposition à un ordinateur réel. Un indicateur potentiel indiquant que l’annonce Google fait partie de cette campagne est que les annonces Google malveillantes contiennent souvent des domaines de premier niveau (TLD) suspects tels que.digital,.link,.store et.club, mais incluent le nom de la cible. application de chat dans leur domaine (par exemple desktop-signal.store).
Les acteurs de la menace qui ont lancé ces campagnes malveillantes auraient dû dépenser de l’argent pour acheter des publicités Google. Le coût de ces annonces dépend de nombreuses variables, notamment la popularité du mot-clé (par exemple, Signal, Telegram, Viber) et la volonté des autres annonceurs de payer pour ce mot-clé dans leurs annonces. Bien que nous ne connaissions pas le montant total dépensé par les cybercriminels pour les annonces Google, nous savons que l’achat du mot-clé « Telegram » peut coûter 0,40 USD par clic, tandis que le mot-clé « Signal » peut coûter jusqu’à 1,40 USD par clic. Il est possible que le financement de ces achats publicitaires aient été eux-mêmes générés par les revenus de campagnes malveillantes précédentes.
Ces derniers incidents sont un autre exemple de la façon dont les téléchargements au volant deviennent un vecteur d’attaque populaire en 2021. Les acteurs de la menace développent leur capacité à détourner les utilisateurs d’ordinateurs lorsqu’ils font des affaires via la recherche Google. Au cours des six derniers mois, nous avons vu trois campagnes différentes impliquant des acteurs de la menace ciblant des utilisateurs d’ordinateurs et des professionnels sans méfiance avec des résultats de recherche Google malveillants. Outre la campagne RedLine mentionnée ici, les campagnes incluent la menace SolarMarker, où les professionnels étaient attirés vers des sites Web contrôlés par des pirates, hébergés sur Google Sites, à la recherche de modèles gratuits de formulaires commerciaux, tels que des factures, des questionnaires et des reçus. Plus récemment, le TRU a observé une campagne utilisant Gootloader, qui tentait d’infecter les professionnels en les attirant vers des pages Web censées héberger des exemples de différents accords commerciaux.
À propos du logiciel malveillant RedLine Stealer
Selon la société de recherche Proofpoint, le malware RedLine Stealer est apparu pour la première fois sur les marchés souterrains russes en mars 2020. Proofpoint a signalé que le malware était proposé à la vente avec plusieurs options de prix, notamment une version allégée pour 150 $, 200 $ pour la version pro, ou un 100 $. possibilité d’abonnement mensuel. RedLine vole les identifiants de connexion des navigateurs Internet, les mots de passe et les données de carte de crédit. Il a également été signalé qu’il est capable de voler des portefeuilles froids de crypto-monnaie. Redline extrait également des informations sur l’utilisateur de l’ordinateur, son appareil, y compris le nom d’utilisateur, son emplacement, la configuration matérielle et le logiciel de sécurité installé.
Points clés à retenir :
Commentaires de Spence Hutchinson, responsable des renseignements sur les menaces pour eSentire
« Les acteurs de la menace continuent de dépenser du temps et de l’argent pour capturer et infecter autant de victimes que possible. Ils dépensent de l’argent pour acheter des publicités Google (bien qu’ils puissent utiliser des cartes de crédit volées pour acheter l’espace publicitaire), et ils ont passé du temps à créer des publicités crédibles et des répliques presque exactes des pages de téléchargement pour certaines des applications de chat sécurisées les plus populaires, par exemple, Signal, Telegram, Viber, etc. a déclaré Spence Hutchinson, responsable des renseignements sur les menaces pour eSentire. Cela signale à notre équipe de recherche que :
- eSentire constate une tendance continue des résultats de recherche de Google à être empoisonnés par les campagnes Drive-by-Download dans la nature
- Les campagnes Drive-By-Téléchargement deviennent un vecteur de menace de plus en plus populaire pour les cybercriminels. Autrefois, le malspam était la tactique privilégiée. Cependant, la tactique du drive-by-download semble gagner du terrain
/li>
- Les équipes de sécurité internes de l’entreprise et les équipes de sécurité externes doivent s’assurer que les employés sont très conscients des différentes tactiques utilisées par les acteurs de la menace pour les attirer vers des pages Web malveillantes, des publicités malveillantes et des documents malveillants
/li>/li>
Image 1 : Un saut dans les recherches de Google pour Telegram et Signal suite aux nouvelles du changement de WhatsApp en termes de service.
Image 2. Annonces suspectes résultant de la recherche du mot « signal » sur
Image 3 : Annonces suspectes résultant de la recherche du mot « Telegram »
Image 4 : Annonces suspectes résultant de la recherche du mot « Viber »
Image 5 : page malveillante (http://desktop-signaldigital/) se faisant passer pour la page de téléchargement légitime de Signal.
Image 7 : via les données de journal, minutes de domaine publicitaire suspect avant l’activation de Fake Signal.
Image 8 : RedLine Stealer apparaît à partir du téléchargement présumé de Signal, intitulé SIGNAL-WIN-53973.EXE
Image 9 : minutes du domaine publicitaire suspect avant l’activation d’un fichier d’installation
Image10 : Fichier d’installation menant au comportement de RedLine Stealer
Image 11 : Enregistrement et propriétés d’infrastructure des annonces suspectes
Pour plus d’informations sur cette menace et comment s’en protéger, rendez-vous sur https://www.esentire.com/get-started