Pour faire la lumière sur la menace éternelle des « programmes malveillants groupés », Des chercheurs de Sophos ont récemment mené une enquête approfondie sur un réseau de sites Web liés à une campagne d'infovoleur Racoon en cours, agissant comme un « compte-gouttes en tant que service ». Ce réseau a distribué une variété de packages de logiciels malveillants, « regroupant souvent des logiciels malveillants sans rapport dans un seul compte-gouttes," y compris les robots de fraude au clic, autres infostealers, et ransomware.
La menace éternelle des packages logiciels crackés
Alors que la campagne Raccoon Stealer suivie par Sophos sur ces sites s'est déroulée entre janvier et avril, 2021, les chercheurs observent toujours des logiciels malveillants et d'autres contenus malveillants distribués via le même réseau de sites. « Plusieurs sites Web frontaux ciblant les personnes à la recherche de versions « crackées » de progiciels populaires grand public et d’entreprise se connectent à un réseau de domaines utilisé pour rediriger la victime à la charge utile conçue pour leur plate-forme," le rapport note.
En fait, de nombreux réseaux appliquent les mêmes tactiques de base, comme l'utilisation du référencement (optimisation du moteur de recherche) pour placer une page d'appât sur le premier passé des résultats liés à des requêtes de recherche spécifiques. Ces requêtes incluent souvent les versions crackées de divers produits logiciels. Il est à noter que lors de l'analyse de la campagne Racoon infostealer, Sophos a rencontré de nombreux voleurs d'informations, robots de fraude au clic, aussi bien que Conti et ARRÊTEZ le ransomware.
Découvertes précédentes de Sophos lié à la façon dont le raton laveur se propage in the wild a révélé une chaîne YouTube avec une vidéo sur les marchandises, ou logiciel piraté. Les chercheurs sont également tombés sur des échantillons en télémétrie enracinés dans deux domaines spécifiques: gsmcracktools.blogspot.com et procrackerz.org.
Les sites malveillants sont généralement annoncés comme des référentiels de packages logiciels légitimes piratés. Cependant, les fichiers livrés dans la campagne étaient en fait déguisés en compte-gouttes. Si la victime potentielle clique sur un lien pour télécharger un tel fichier, ils passent par un ensemble de JavaScripts de redirection hébergés sur Amazon Web Services. Puis, la victime est envoyée à l'un des multiples emplacements de téléchargement qui fournissent différentes versions du compte-gouttes.
Un regard sur les pages d'appâts malveillants et les réseaux d'échange de trafic
Les attaques analysées utilisent de nombreuses pages d'appâts principalement hébergées sur WordPress. Ces pages contiennent des liens de téléchargement vers des logiciels emballés qui créent une série de redirections en cliquant.
« Les boutons de téléchargement sur ces pages renvoient à un autre hôte, transmettre un ensemble de paramètres comprenant le nom du package et les codes d'identification de l'affilié à une application qui redirige ensuite la session du navigateur vers un autre site intermédiaire, avant d'arriver enfin à destination,» dit Sophos.
Certaines pages d'appâts redirigent vers des sites de téléchargement hébergeant des archives empaquetées contenant des logiciels malveillants, tandis que d'autres sont bourrés de plugins de navigateur et d'applications potentiellement indésirables (satisfait).
Dans de nombreux cas,, les visiteurs de la page sont invités à autoriser notifications push. Si ceux-ci sont autorisés, les pages commenceront à se déclencher fausses alertes de logiciels malveillants. Si les alertes sont cliquées, puis l'utilisateur est conduit à travers une série de redirections et de sites jusqu'à arriver à une destination déterminée par le système d'exploitation du visiteur, le type de navigateur, et la situation géographique.
Qu'ont découvert les chercheurs en termes de malware?
Ces campagnes de téléchargement propagent une variété de PUA et de logiciels malveillants, y compris les installateurs pour ARRÊT ransomware, la porte dérobée de Glupteba, et de nombreux mineurs de crypto-monnaie et infostealers. Beaucoup de ces faux téléchargements sont censés être des installateurs de programmes antivirus, dont certains prétendaient être des versions contournées par licence de HitmanPro, propriété de Sophos.
Les forfaits compte-gouttes et les plates-formes de diffusion de logiciels malveillants existent depuis longtemps, mais ils continuent de prospérer en raison du même type de dynamique de marché que ceux qui rendent les voleurs en tant que service si rentables, le rapport a conclu. Grâce à ces, même les auteurs de menaces inexpérimentés peuvent propager des logiciels malveillants.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: