Un nouveau rapport de sécurité indique que le DroidClub Botnet contamine nouvellement découvert des cibles par des logiciels malveillants extensions Google Chrome. Selon l'analyse du virus a déjà réussi à infecter plus d'un demi-million d'utilisateurs dans le monde entier à travers plusieurs instances qui sont actives sur le référentiel de plug-in officiel hébergé par Google. Les infections conduisent à des conséquences dévastatrices, Poursuivez votre lecture pour en savoir plus sur la nature de la menace et comment vous pouvez vous protéger contre les attaques entrantes.
Les attaques Droidclub Botnet Google Chrome se propage par des logiciels malveillants Extensions
Un autre jour et une autre attaque de malware a été rapporté. Nous venons de recevoir des rapports d'une nouvelle menace dans le monde entier appelé Botnet Droidclub qui est rapidement distribué aux cibles dans le monde entier. Les campagnes à grande échelle ont réussi à infecter les utilisateurs d'ordinateurs autour d'un demi-million dans une courte période ce qui en fait parmi les infections les plus mortelles au cours des dernières semaines. En ce moment, la principale méthode repose sur la distribution de logiciels malveillants plugins pour Google Chrome. Ceci est une tactique qui est largement utilisé pour les sites de redirection plus simples où le code peut être compatible pour d'autres applications: Mozilla Firefox, Safari, Opéra, Internet Explorer et Microsoft bord par exemple. Les criminels derrière l'attaque d'utiliser des identités des développeurs faux et avis d'utilisateurs de faux afin de stimuler la popularité des entrées.
Le rapport de sécurité révèle que, au moment il y a un total de 89 entrées séparées trouvé sur le Chrome Web Store officiel. Google est activement les enlever, ils sont signalés cependant des variantes plus récentes peuvent être facilement créés par le groupe criminel. Les serveurs de commande et de contrôle connus sont également vu refuser l'accès par le réseau de distribution de contenu Cloudflare.
Diverses techniques peuvent être utilisées pour rediriger les utilisateurs vers les extensions du navigateur. Les criminels peuvent choisir d'envoyer e-mail les messages de spam qui utilisent l'ingénierie sociale tactique:
- Les liens hypertextes - Les pirates peuvent intégrer des liens dans les messages qui contraignent les victimes dans l'installation des plug-ins de logiciels malveillants.
- Pièces jointes - Les fichiers d'installation de plug-ins logiciels malveillants peuvent être directement intégrés en tant que pièces jointes.
- Scripts de documents contrefaits - Les criminels peuvent choisir d'envoyer des documents de programmes malveillants de divers types (riches documents texte, feuilles de calcul et présentations) qui contiennent des scripts malveillants. Une fois qu'ils sont ouverts par les cibles visées une invite de notification apparaît qui demande aux victimes de permettre aux commandes intégrées. Si cela est fait le logiciel malveillant est installé automatiquement.
- Programmes malveillants d'installation de logiciels - Ce type d'infections repose sur les installateurs de logiciels qui sont modifiés pour inclure le code botnet Droidclub.
L'un des principaux plugins du navigateur qui ont été trouvés pour faire partie du système de distribution est l'extension française Toast Croissant - cliquez ici pour savoir comment retirer.
histoire connexes: Le Hide « n Seek IdO Botnet Utilise P2P pour les équipements cibles
Droidclub Botnet Infection Comportement
Une fois que le botnet Droidclub est installé dans le navigateur Google Chrome, il commence à communiquer avec la commande prédéfinie et contrôle (C&C) serveurs pour recevoir les derniers paramètres de configuration de logiciels malveillants. Il procède ensuite en injectant des scripts spéciaux dans les pages vues. Il peut être utilisé pour instituer divers technologies de surveillance pour recueillir des données des victimes. Il existe deux principaux types de données qui peuvent être pris en otage par les pirates:
- Metrics anonymes - Ce type d'information est principalement composé de données utilisées par les opérateurs pour évaluer dans quelle mesure la campagne est efficace. Exemple des données récoltées comprend des composants matériels, la version du système d'exploitation, paramètres régionaux et les paramètres de configuration du navigateur web.
- Informations personnelles identifiables - Les criminels acquièrent automatiquement un ensemble détaillé de données de la victime qui peuvent les exposer directement. Cela inclut leur nom, préférences, adresse, numéro de téléphone, les informations d'identification de compte et mots de passe.
Comme le botnet Droidclub injecte automatiquement le code dans les pages Web actives peuvent aussi espionner toutes les interactions de l'utilisateur. Les analystes de sécurité rapportent que de nouveaux onglets et fenêtres pop-up sont également affichés que l'affichage des annonces et des bannières qui génèrent des revenus pour les opérateurs de pirates informatiques. Ils peuvent être utilisés pour rediriger les victimes vers des sites qui hébergent des logiciels malveillants et autres virus.
Un dangereux est également mis en place qui génère des revenus pour les opérateurs de pirates informatiques. Les versions actuelles utilisent la mineur Coinhive Monero.
Conséquences des infections Droidclub Botnet
Le code de redirection et les mineurs ne représentent qu'une crypto-monnaie petite partie des résultats des programmes malveillants possible. Les criminels peuvent utiliser le virus pour augmenter le trafic vers des sites malveillants ou sponsors. Au cours de l'intrusion initiale, le fichier de configuration peut varier en fonction des utilisateurs et certaines variables définies telles que leur emplacement. L'une des raisons pour lesquelles le module de collecte d'informations est démarré et un profil complet des utilisateurs des victimes est créé est d'optimiser la distribution de contenu publicitaire. Les criminels peuvent également tirer parti des scripts web automatiquement en piratant les données de formulaire comme il est entré par les victimes. En conséquence, les criminels peuvent intercepter leurs données de carte bancaire si des paiements en ligne sont effectués.
Le botnet Droidclub est capable d'installer des kits exploiter aussi bien. Ils testent l'ordinateur pour diverses vulnérabilités et le cas échéant se trouvent d'autres virus peuvent instituer. Cela inclut à la fois ransomware souches qui chiffrent les informations sensibles et de chantage les victimes pour les frais de décryptage, aussi bien que Les chevaux de Troie qui permettent aux contrôleurs d'espionner les victimes en temps réel. En utilisant de telles tactiques les pirates peuvent dépasser le contrôle des machines à tout moment.
Des infections similaires peuvent être utilisés pour recruter les hôtes compromis en réseaux botnet dans le monde entier. Ils sont utilisés pour lancer des attaques par déni de service contre des cibles de haut niveau. Selon le cas, ils peuvent être utilisés par les pirates ou prêtées à d'autres pour une taxe.
Une caractéristique intéressante du code malveillant est le fait qu'il est installé à l'aide d'un état persistant d'exécution. Si le plug-in détecte que les utilisateurs veulent supprimer, ils sont automatiquement redirigés vers la page d'introduction de l'extension. Cette tactique est utilisée pour manipuler la victime en pensant qu'ils ont enlevé le plug-in tout en même temps, il reste actif.
Nous vous recommandons vivement que tous les ordinateurs des utilisateurs scannent leur système d'infections actives en utilisant une qualité solution anti-spyware.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter