Le malware Adrozek affiche des pubs sur 30 000 appareils

0

Une campagne d’infection appelée Adrozek utilise un modificateur de navigateur évolué pour diffuser des publicités frauduleuses sur les pages de sites web, selon Microsoft.

À son apogée au mois d’Août, Adrozek a été observé sur plus de 30 000 appareils chaque jour, ont découvert les chercheurs, le malware affecte plusieurs navigateurs.

La famille de logiciels malveillants Adrozek modifie les paramètres du navigateur pour lui permettre d’insérer de ‘fausses publicités’ par rapport aux publicités légitimes, ce qui rapporte de l’argent aux fraudeurs pour chaque utilisateur qui clique sur l’une de ses ‘fausses publicités’.

adrozek

Ce qui fait d’Adrozek une menace encore plus dangereuse, c’est que le malware extrait les données de l’appareil infecté et les envoie à un serveur distant pour une utilisation ultérieure et, dans certains cas, il vole les informations d’identification de l’appareil.

La prolifération et la persistance considérables d’Adrozek à travers le monde, et son impact sur plusieurs navigateurs, dont Google Chrome, Microsoft Edge, Mozilla Firefox et Yandex, représentent une avancée significative dans les logiciels malveillants modificateurs de navigateur, ont expliqué les chercheurs dans des résultats publiés le 10 décembre. Les nouveaux outils, la taille même de l’infrastructure de la campagne et la persistance du logiciel malveillant une fois qu’il infecte un appareil ont propulsé cette arnaque au quotidien dans une nouvelle ère.

«C’est un excellent exemple de la façon dont les attaquants modernes sont techniquement avancés», a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4. «Alors que nous entendons souvent parler de violations de données et de virements électroniques frauduleux, des campagnes comme celle-ci se déroulent en arrière-plan et génèrent des revenus en redirigeant les résultats de recherche. Dans de nombreux cas, il est probable que les annonceurs ignorent que des logiciels malveillants sont utilisés pour augmenter ce trafic. Les annonceurs perdent de l’argent, car ils présentent des publicités à des personnes éventuellement indifférentes, tout en payant les cybercriminels. »

L’infrastructure d’Adrozek

Microsoft a retrouvé la source d’Adrozek et a constaté qu’il était soutenu par une énorme infrastructure mondiale.

«Nous avons identifié 159 domaines uniques, chacun hébergeant en moyenne 17 300 URL uniques, qui à leur tour hébergent plus de 15 300 échantillons de logiciels malveillants polymorphes uniques en moyenne», a rapporté Microsoft. «Au total, de mai à septembre 2020, nous avons enregistré des centaines de milliers de rencontres avec le malware Adrozek à travers le monde, avec une forte concentration en Europe, en Asie du Sud et en Asie du Sud-Est. Au fur et à mesure que cette campagne se poursuit, cette infrastructure est appelée à se développer encore plus. »

Les installateurs, explique le rapport, sont répartis sur l’infrastructure des logiciels malveillants Adrozek, ce qui les rend difficiles à détecter.

« Chacun de ces fichiers est fortement obscurci et utilise un nom de fichier unique qui suit ce format: setup_ _.exe », indique le rapport. «Lorsqu’il est exécuté, le programme d’installation supprime un fichier .exe avec un nom de fichier aléatoire dans le dossier %temp%. Ce fichier supprime la charge utile principale dans le dossier Program Files en utilisant un nom de fichier qui le fait ressembler à un logiciel audio légitime. »

Les chercheurs de Microsoft ont trouvé le malware Adrezok caché derrière les noms de fichiers « Audiolava.exe » et « QuickAudio.exe » qui se trouvent dans « Paramètres> Applications et fonctionnalités », explique le rapport.

Malware Polymorphe

Les malwares polymorphes sont programmés pour changer constamment et éviter d’être détectés. Et donc, une fois qu’Adrozek a infecté un appareil, il est difficile de le trouver et de le supprimer. Par exemple, une fois dans le navigateur, Adrozek ajoute des scripts malveillants à certaines extensions en fonction du navigateur qu’il rencontre.

« Dans certains cas, le logiciel malveillant modifie l’extension par défaut en ajoutant sept fichiers JavaScript et un fichier manifest.json au chemin du fichier de l’extension cible », indique le rapport. « Dans d’autres cas, il crée un nouveau dossier avec les mêmes composants malveillants. »

Ces scripts récupèrent d’autres scripts qui injectent ensuite les fausses publicités, rapportent les chercheurs. Mais en plus des publicités, le malware envoie les informations de l’appareil à un serveur distant.

Dans un autre exploit de malwares polymorphes, Adrozek modifie certaines DLL du navigateur pour désactiver les contrôles de sécurité, a observé l’équipe de Microsoft. Une fois dans le navigateur, les attaquants peuvent accéder aux préférences, y compris le moteur de recherche par défaut, et modifier pour ajuster la DLL en conséquence.

Ensuite, il passe aux paramètres de sécurité du navigateur, dans le fichier de préférences de sécurité.

«Le fichier de préférences de sécurité a une structure similaire à celle du fichier de préférences, sauf que le premier ajoute un code d’authentification de message basé sur le hachage (HMAC) pour chaque entrée du fichier», indique le rapport. «Ce fichier contient également une clé nommée super_mac qui vérifie l’intégrité de tous les HMAC. Lorsque le navigateur démarre, il valide les valeurs HMAC et la clé super_mac en calculant et en comparant avec le HMAC SHA-256 de certains des nœuds JSON. S’il trouve des valeurs qui ne correspondent pas, le navigateur réinitialise la préférence appropriée à sa valeur par défaut. « 

Prolifération et vol d’informations

Une fois installé confortablement sur l’appareil, le logiciel malveillant désactive les mises à jour du navigateur et modifie les paramètres du système pour garder le contrôle.

« Il stocke ses paramètres de configuration dans la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ . » ont expliqué les chercheurs. «Les entrées ‘tag’ et ‘did’ contiennent les arguments de ligne de commande qu’il utilise pour lancer la charge utile principale. Des variantes plus récentes d’Adrozek utilisent des caractères aléatoires au lieu de « tag » ou « did ».

Les chercheurs ajoutent le malware puis créent un service appelé «Main Service».

Cela laisse l’appareil sous le contrôle des cybercriminels avec la possibilité de diffuser des publicités quand ils le souhaitent et d’apporter des modifications à tout moment.

firefox

En ce qui concerne Mozilla Firefox, Adrozek a une autre petite astuce, il vole également les informations d’identification de l’appareil.

«Le malware recherche des mots clés spécifiques tels que encryptedUsername et encryptedPassword pour localiser les données chiffrées. Il décrypte ensuite les données à l’aide de la fonction PK11SDR_Decrypt() dans la bibliothèque Firefox et les envoie aux attaquants », indique le rapport.

Les chercheurs avertissent les utilisateurs concernés de réinstaller leurs navigateurs pour éliminer Adrozek de leur système.

«L’ajout du vol d’informations d’identification depuis le navigateur Firefox est un outil précieux», a ajouté Kron. «Les attaquants adorent avoir accès à des noms d’utilisateur et des mots de passe qu’ils utiliseront ensuite dans des attaques de bourrage d’informations d’identification sur d’autres comptes, tels que des sites bancaires ou des sites commerciaux. Ils réussissent car les utilisateurs réutilisent souvent le même mot de passe pour de nombreux comptes différents. »

La vraie solution, soutient Kron, est de changer le comportement des utilisateurs.

«Pour se défendre contre cela, les utilisateurs doivent être informés des dangers liés à l’installation de logiciels à partir de sites Web non fiables et de l’importance de l’hygiène des mots de passe, notamment de ne pas les réutiliser pour différents comptes», a-t-il déclaré.

Si cet article vous a plu, jetez un œil notre article précédent.

Laisser un commentaire