La recherche sur Google de téléchargements de logiciels populaires a toujours été accompagnée de risques, mais au cours des derniers mois, cela a été carrément dangereux, selon des chercheurs et une collection pseudo-aléatoire de requêtes.
Les chercheurs en menaces sont habitués à voir un flux modéré de publicités malveillantes via Google Ads, ont écrit jeudi des bénévoles de Spamhaus. Cependant, au cours des derniers jours, les chercheurs ont été témoins d’un pic massif affectant de nombreuses marques célèbres, avec l’utilisation de plusieurs logiciels malveillants. Ce n’est pas la norme.
Une des nombreuses nouvelles menaces : MalVirt
L’augmentation provient de nombreuses familles de logiciels malveillants, notamment AuroraStealer, IcedID, Meta Stealer, RedLine Stealer, Vidar, Formbook et XLoader. Dans le passé, ces familles s’appuyaient généralement sur le phishing et les spams malveillants qui joignaient des documents Microsoft Word avec des macros piégées. Au cours du mois dernier, Google Ads est devenu le lieu de prédilection des criminels pour diffuser leurs produits malveillants déguisés en téléchargements légitimes en se faisant passer pour des marques telles qu’Adobe Reader, Gimp, Microsoft Teams, OBS, Slack, Tor et Thunderbird.
Le même jour que Spamhaus a publié son rapport, des chercheurs de la société de sécurité Sentinel One ont documenté une campagne avancée de publicité malveillante de Google poussant plusieurs chargeurs malveillants implémentés dans .NET. Sentinel One a surnommé ces chargeurs MalVirt. À l’heure actuelle, les chargeurs MalVirt sont utilisés pour distribuer des logiciels malveillants plus connus sous le nom de XLoader, disponibles à la fois pour Windows et macOS. XLoader est un successeur du malware également connu sous le nom de Formbook. Les acteurs de la menace utilisent XLoader pour voler les données des contacts et d’autres informations sensibles sur les appareils infectés.
Les chargeurs MalVirt utilisent une virtualisation masquée pour échapper à la protection et à l’analyse des terminaux. Pour dissimuler le trafic C2 réel et échapper aux détections de réseau, les balises MalVirt pour leurrer les serveurs de commande et de contrôle hébergés chez des fournisseurs tels qu’Azure, Tucows, Choopa et Namecheap. Le chercheur de Sentinel One, Tom Hegel, a écrit :
En réponse au blocage par défaut par Microsoft des macros Office dans les documents provenant d’Internet, les acteurs de la menace se sont tournés vers d’autres méthodes de distribution de logiciels malveillants, plus récemment, la publicité malveillante. Les chargeurs MalVirt que nous avons observés montrent à quel point les acteurs de la menace investissent pour échapper à la détection et contrecarrer l’analyse.
Les logiciels malveillants de la famille Formbook sont des voleurs d’informations hautement performants qui sont déployés grâce à l’application d’un nombre important de techniques d’anti-analyse et d’anti-détection par les chargeurs MalVirt. Traditionnellement distribués en pièce jointe aux e-mails de phishing, nous évaluons que les acteurs de la menace distribuant ce malware rejoignent probablement la tendance à la publicité malveillante.
Compte tenu de la taille massive de l’audience que les acteurs de la menace peuvent atteindre par le biais de la publicité malveillante, nous nous attendons à ce que les logiciels malveillants continuent d’être distribués en utilisant cette méthode.
Les représentants de Google ont refusé une entrevue. Au lieu de cela, ils ont fourni la déclaration suivante :
Les acteurs malveillants emploient souvent des mesures sophistiquées pour dissimuler leur identité et échapper à nos politiques et à notre application. Pour lutter contre cela au cours des dernières années, nous avons lancé de nouvelles politiques de certification, intensifié la vérification des annonceurs et augmenté notre capacité à détecter et à prévenir les escroqueries coordonnées. Nous sommes conscients de la récente augmentation des activités publicitaires frauduleuses. Y remédier est une priorité essentielle et nous nous efforçons de résoudre ces incidents le plus rapidement possible.
Il n’est pas difficile de trouver des preuves anecdotiques que la publicité malveillante de Google est hors de contrôle. Les recherches à la recherche de téléchargements de logiciels sont probablement les plus susceptibles de générer des publicités malveillantes. Prenez, par exemple, les résultats renvoyés par Google pour une recherche jeudi à la recherche d’un téléchargement de visual studio :
Cliquer sur ce lien sponsorisé par Google m’a redirigé vers downloadstudio[.]net, qui est signalé par VirusTotal comme malveillant par un seul fournisseur de points de terminaison :
Jeudi soir, le téléchargement proposé par ce site a été détecté comme malveillant par 43 moteurs antimalware :
Le téléchargement est malveillant :
La recherche sur Google du navigateur d’anonymat Tor n’a pas été meilleure. En cliquant sur l’annonce Google renvoyée pour le téléchargement de Tor dirigé vers le domaine torprojects[.]pw.
L’adresse IP qui hébergeait le site, 208.91.197[.]91, a été signalé par cinq moteurs distincts :
Les recherches d’autres logiciels, notamment Thunderbird, MSI Afterburner et Audacity, ont renvoyé des résultats similaires.
Thunderbird malvert.
Résultats VirusTotal pour le faux téléchargement de Thunderbird.
MSI Afterburner malvert.
Le site que le malvert charge.
La vraie page MSI Afterburner est presque identique.
Résultats VirusTotal pour la page de téléchargement de MSI Afterburner.
Résultats VirusTotal pour le domaine hébergeant le faux téléchargement MSI Afterburner.
Une des adresses IP hébergeant un domaine malveillant.
Audace malvert.
Il est clair que malgré tous les progrès réalisés par Google en filtrant les sites malveillants des annonces et des résultats de recherche renvoyés au cours des deux dernières décennies, les criminels ont trouvé des moyens de riposter. Ces criminels excellent à trouver les dernières techniques pour contrer le filtrage. Dès que Google conçoit un moyen de les bloquer, les criminels trouvent de nouvelles façons de contourner ces protections.
Un exemple est documenté ici par Sentinel Ones Hegel :
Formbook et XLoader masquent le trafic C2 réel parmi les requêtes HTTP écran de fumée avec du contenu codé et crypté vers plusieurs domaines, sélectionnés au hasard dans une liste intégrée. Un seul des domaines est le vrai serveur C2 et les autres sont des leurres. Un échantillon que nous avons analysé a émis des requêtes HTTP GET et/ou POST avec des données HTTP codées et chiffrées vers 17 domaines (16 points de terminaison) répertoriés dans le tableau IOC ci-dessous. Des recherches antérieures fournissent des informations détaillées sur la façon dont XLoader en particulier implémente cette technique.
La technique de camouflage du véritable domaine C2 par le balisage vers plusieurs domaines reste cohérente avec les recherches précédemment notées. Le logiciel malveillant balise les domaines contenant des domaines enregistrés légitimes et/ou inutilisés. Comme le montre l’image suivante, en tant qu’instantané de certains domaines que les logiciels malveillants contactent, il existe une grande variété d’heures de domaine, de fournisseurs d’hébergement et d’âge entre leur date d’enregistrement pertinente.
Sentinelle une
Jusqu’à ce que Google conçoive de nouvelles défenses, les domaines leurres et autres techniques d’obscurcissement restent un moyen efficace de dissimuler les véritables serveurs de contrôle utilisés dans MalVirt et d’autres campagnes de publicité malveillante. Le malware MalVirt pousse est tout aussi insaisissable à la détection. La charge utile utilise les fonctions NtQueryInformationProcess et NtQuerySystemInformation pour détecter la présence de débogueurs utilisateur et noyau.
Un appel à Google
Il est clair pour le moment que les malvertisers ont pris le dessus sur la puissance considérable de Google. Les chercheurs de Spamhaus ont écrit :
L’expert du domaine Spamhaus Projects, Carel Bitter, a demandé pourquoi Google Ads approuvait les publicités liées à de nouveaux domaines. Dans l’industrie de la sécurité, l’utilisation immédiate de domaines nouvellement enregistrés est associée à une activité à haut risque. Si vous jetez un coup d’œil aux données WHOIS pour l’un des domaines similaires de Nvidia, il a été créé il y a moins d’une semaine :
Carel reconnaît qu’il est un expert des domaines, et non de la sécurité Google Ads. Nous aimerions avoir de vos nouvelles si vous avez des connaissances détaillées dans ce domaine et pouvez nous aider à comprendre pourquoi Google autorise l’utilisation de domaines récemment enregistrés.
En attendant, nous espérons que Google Ads pourra rapidement mettre fin à cette vague de comportements malveillants sur sa plate-forme.
Jusqu’à ce que Google reprenne pied, les gens doivent être extrêmement prudents lorsqu’ils effectuent des recherches sur Google, et probablement sur d’autres sites de recherche, en particulier pour les téléchargements de logiciels.
Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez.
J'accepteLire la suite
