Zloader: des hackers ciblent les visiteurs de sites pour adulte

Une fausse mise à jour Java trouvée sur divers sites pornographiques télécharge en fait le malware Zloader.

Les cybercriminels piègent les visiteurs de sites Web pour adultes – y compris des sites tels que bravoporn[.]com et xhamster[.]com – dans des attaques malveillantes qui redirigent les victimes vers des sites Web malveillants distribuant des malware.

Cette campagne, qui fait partie d’un effort plus large de malvertising surnommé «malsmoke», a été suivie tout au long de l’année 2020. Les efforts les plus récents, selon les chercheurs, indiquent un changement de stratégie de la part des attaquants – s’éloignant du fait de pousser les victimes vers des sites hébergeant des kits d’exploitation pour faire apparaître de fausses mises à jour Java.

zloader

L’ancienne tactique incluait des adversaires redirigeant les visiteurs du site vers un site Web qui fournirait ensuite une chaîne de livraison de kit d’exploitation (dropper, téléchargeur et malware). Cependant, à partir de la mi-octobre, les attaquants ont mis à jour leurs kits d’exploit avec une astuce. Les chercheurs expliquent qu’une fausse mise à jour Java a été introduite, ont déclaré les chercheurs. Lorsque les victimes cliquent sur cette «mise à jour», elles téléchargent finalement Zloader, un malware bancaire conçu pour dérober les identifiants et autres informations privées des utilisateurs d’institutions financières ciblées.

«Alors que nous pensions que les cybercriminels étaient devenu silencieux, ils ont simplement changé de tactique afin de développer davantage leurs opérations», ont déclaré des chercheurs de Malwarebytes. « Au lieu de cibler une petite fraction des visiteurs sur des sites pour adultes qui exécutaient toujours Internet Explorer, ils ont maintenant étendu leur portée à tous les navigateurs. »

Lorsque vous cliquez pour lire un clip vidéo pour adultes, une nouvelle fenêtre de navigateur apparaît avec ce qui ressemble à une vidéo granuleuse. En arrière-plan, ce qui se passe, c’est qu’après que les victimes cliquent pour lire la vidéo pour adultes, elles sont redirigées vers diverses pages malveillantes, telles que landingmonster[.]online jusqu’à ce qu’elles atterrissent sur un site pornographique «leurre» (pornguru[.]online/B87F22462FDB2928564CED ). Les films sont lus pendant quelques secondes – avec audio – jusqu’à ce qu’un message de superposition indique aux utilisateurs que «le plug-in Java 8.0 n’a pas été trouvé».

zloader java

Les chercheurs ont déclaré que le fichier vidéo est un clip MPEG-4 de 28 secondes qui a été traité avec un filtre pixélisé exprès. Il est destiné à laisser les utilisateurs croire qu’ils ont besoin de télécharger un logiciel manquant, même si cela n’aidera en rien, ont-ils déclaré.

«Les cybercriminels auraient pu concevoir cette fausse mise à jour du plugin sous n’importe quelle forme», ont déclaré les chercheurs. «Le choix de Java est cependant un peu étrange, étant donné qu’il n’est généralement pas associé au streaming vidéo. Cependant, ceux qui cliquent et téléchargent la soi-disant mise à jour peuvent ne pas en être conscients, et c’est vraiment tout ce qui compte. »

À partir de là, les attaquants ont développé leur propre utilitaire pour télécharger une charge utile distante. La fausse mise à jour Java (appelée JavaPlug-in.msi) est un programme d’installation Microsoft signé numériquement, qui contient un certain nombre de bibliothèques et d’exécutables. Les chercheurs ont déclaré que bon nombre d’entre eux étaient légitimes.

Un exécutable (lic_service.exe) est installé, il charge ensuite HelperDll.dll. qui est le module le plus important responsable du déploiement de la charge utile finale. Ce module utilise la bibliothèque curl présente dans l’archive MSI, pour ensuite télécharger une charge utile chiffrée (depuis le site moviehunters[.]site).

Cette charge utile finale est Zloader, qui s’injecte dans un nouveau processus msiexec.exe pour contacter son serveur de commande et de contrôle (C2) à l’aide d’un algorithme de génération de domaine (DGA). Après avoir identifié un domaine qui répond, le malware commence à télécharger des modules supplémentaires.

L’évolution de l’attaque Malsmoke et son association à Zloader

La campagne malsmoke, révélée pour la première fois par des chercheurs en Septembre, tire son nom de Smoke Loader, la charge utile la plus fréquemment utilisée via le kit d’exploitation Fallout. Au départ, les chercheurs ont observé la campagne en utilisant des kits d’exploitation. À la fin du mois d’Août, par exemple, une campagne de kits d’exploit Fallout a été observée en train de distribuer Raccoon Stealer via des sites pour adultes à fort trafic. Peu de temps après que les chercheurs aient signalé cette attaque au réseau publicitaire, le même acteur de la menace est revenu à la place en utilisant le kit d’exploit RIG.

«Bien que nous voyions un certain nombre de publicité malveillante, la majorité d’entre elles proviennent d’un trafic de mauvaise qualité et de réseaux publicitaires louches», ont déclaré les chercheurs. «Malsmoke opte pour des portails pour adultes à fort trafic, dans l’espoir de produire le maximum d’infections. Par exemple, malsmoke est présent sur xhamster[.]com (un site qui enregistre 974 millions de visites mensuelles) par intermittence depuis des mois. « 

Alors que les attaquants ont changé leurs tactiques pour utiliser de fausses mises à jour Java au lieu de kits d’exploitation, les chercheurs affirment qu’ils continuent d’abuser des portails pour adultes à fort trafic et peuvent être liés au réseau publicitaire Traffic Stars. Les chercheurs préviennent que cette campagne se poursuivra avec des tactiques nouvelles et évolutives.

«En l’absence de vulnérabilités et d’exploits logiciels de grande valeur, l’ingénierie sociale est une excellente option car elle est rentable et fiable», ont déclaré les chercheurs. «En ce qui concerne les menaces Web, ces tactiques sont là pour durer un bon moment.»

Si cet article concernant Zloader vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x