Il a été découvert qu’une nouvelle campagne de publicité malveillante utilise de faux sites se faisant passer pour un portail d’actualités Windows légitime pour propager un programme d’installation malveillant pour un outil de profilage système populaire appelé CPU-Z.
« Cet incident fait partie d’une campagne de publicité malveillante plus vaste qui cible d’autres utilitaires comme Notepad++, Citrix et VNC Viewer, comme le montrent son infrastructure (noms de domaine) et les modèles de masquage utilisés pour éviter la détection », a déclaré Jérôme Segura de Malwarebytes. dit.
Alors que les campagnes de publicité malveillante sont connues pour créer des répliques de sites faisant la publicité de logiciels largement utilisés, la dernière activité marque une déviation dans la mesure où le site Web imite WindowsReport.[.]com.
L’objectif est de tromper les utilisateurs peu méfiants recherchant CPU-Z sur les moteurs de recherche comme Google en diffusant des publicités malveillantes qui, une fois cliquées, les redirigent vers le faux portail (workspace-app[.]en ligne).
Dans le même temps, les utilisateurs qui ne sont pas les victimes visées de la campagne se voient proposer un blog inoffensif contenant différents articles, une technique connue sous le nom de cloaking.
Le programme d’installation MSI signé hébergé sur le site Web malveillant contient un script PowerShell malveillant, un chargeur connu sous le nom de FakeBat (alias EugenLoader), qui sert de canal pour déployer RedLine Stealer sur l’hôte compromis.
« Il est possible que l’auteur de la menace ait choisi de créer un site leurre ressemblant à Windows Report, car de nombreux utilitaires logiciels sont souvent téléchargés à partir de ces portails au lieu de leur page Web officielle », a noté Segura.
C’est loin d’être la première fois que des publicités Google Ads trompeuses destinées à des logiciels populaires se révèlent être un vecteur de distribution de logiciels malveillants. La semaine dernière, la société de cybersécurité eSentire divulgué les détails d’une campagne Nitrogen mise à jour qui ouvre la voie à une attaque de ransomware BlackCat.
Deux autres campagnes documentés par la société canadienne de cybersécurité montrent que le méthode de téléchargement en voiture Le fait de diriger les utilisateurs vers des sites Web douteux a été exploité pour propager diverses familles de logiciels malveillants comme NetWire RAT, DarkGate et DanaBot au cours des derniers mois.
Cette évolution intervient alors que les acteurs de la menace continuent de s’appuyer de plus en plus sur les kits de phishing de type Adversary-in-the-Middle (AiTM) tels que Pages nues, Stroxet PapaSec pour contourner l’authentification multifacteur et détourner des comptes ciblés.
Pour couronner le tout, eSentire a également attiré l’attention sur une nouvelle méthode baptisée attaque Wiki-Slack, une attaque dirigée par l’utilisateur qui vise à diriger les victimes vers un site Web contrôlé par un attaquant en dégradant la fin du premier paragraphe d’un article Wikipédia et en le partageant. sur Slack.
Plus précisément, il exploite une bizarrerie de Slack qui « gère mal[s] l’espace entre le premier et le deuxième paragraphe » pour générer automatiquement un lien lorsque l’URL Wikipédia est rendu en aperçu dans la plateforme de messagerie d’entreprise.
Il convient de souligner qu’une condition préalable essentielle pour mener à bien cette attaque est que le premier mot du deuxième paragraphe de l’article Wikipédia doit être un domaine de premier niveau (par exemple, in, at, com ou net) et que les deux paragraphes doit apparaître dans les 100 premiers mots de l’article.
Avec ces restrictions, une menace pourrait militariser ce comportement de telle sorte que la façon dont Slack formate les résultats de l’aperçu de la page partagée pointe vers un lien malveillant qui, en cliquant, amène la victime vers un site piégé.
« Si l’on ne dispose pas de garde-fous éthiques, on peut augmenter la surface d’attaque de l’attaque Wiki-Slack en éditant les pages Wikipédia intéressantes pour la dégrader », eSentire dit.