Le malware BadSpace, qui se fait passer pour une mise à jour de navigateur, infiltre sournoisement les sites Web légitimes. Il peut espionner, exécuter des commandes malveillantes et effacer ses traces.
Comme un air de déjà-vu. Les pirates informatiques manqueraient-ils d'imagination ou bien se reposeraient-ils sur leurs lauriers ? Toujours est-il que leur dernière trouvaille s'appuie une nouvelle fois sur la compromission de sites Web légitimes, jouant sur notre confiance envers les sites que nous fréquentons habituellement.
Si cela vous rappelle un petit quelque chose, c'est normal, Clubic vous faisait déjà part de ce style d'attaque au début du mois de juin 2024. En se faisant passer pour une mise à jour de navigateur, le malware BadSpace tente de tromper les internautes pour s'immiscer dans leurs systèmes. Cette nouvelle menace, analysée par les experts en cybersécurité de G Data Cyberdefense, utilise une chaîne complexe impliquant à la fois un site Web infecté, un serveur de commande et de contrôle, parfois même une fausse fenêtre de mise à jour de Chrome, ainsi qu'un téléchargeur JavaScript chargé de déployer la porte dérobée chez la victime. Autrement dit, ils ont pensé à tout.
BadSpace, une back door Windows qui dissimule un piège habilement tendu
Prenons un site Web, sur lequel vous surfez pour la première fois. Son apparence vous inspire confiance : l'URL semble correcte, l'architecture propre, avec les mentions habituelles. Autant de feux verts qui font que vous ne vous apercevez peut-être pas qu'il est infecté. Un code malveillant, injecté sur ces pages, définit un cookie pour identifier les nouveaux visiteurs. Pour ces derniers, une URL est construite, intégrant des paramètres relatifs à leur appareil, adresse IP, référent et localisation. Une requête HTTP vers cette URL déclenche alors le remplacement sournois du contenu légitime par un leurre.
Certains sites affichent directement une fenêtre de mise à jour contrefaite de Google Chrome. D'autres diffusent un fichier JavaScript obscurci qui télécharge silencieusement BadSpace, puis l'exécute au terme d'un court délai via rundll32.exe. Les experts ont d'ailleurs remarqué que cette attaque sévissait surtout sur les sites Web sous WordPress.
Les techniques d'infection évoluent constamment, mais un fil conducteur se dégage : usurper l'apparence de processus anodins pour mieux tromper la vigilance des utilisateurs. À partir de là, BadSpace lâche les chevaux et peut espionner tout ce que vous faites sur votre machine, prendre des captures d'écran, d'exécuter des commandes, lire ou supprimer certains fichiers ou encore se rendre persistant. Ni plus, ni moins, hélas, qu'un redoutable malware, à l'image de WarmCookie.
Comment détecter ces fausses mises à jour pour éviter les attaques
Se prémunir contre ces attaques de derrière les fagots nécessite d'adopter une prudence de tous les instants. Soyez systématiquement méfiant lorsqu'une fenêtre de mise à jour apparaît spontanément, en particulier sur des sites que vous fréquentez habituellement. Un véritable processus de mise à jour provient généralement du navigateur lui-même, et non d'une pop-up qui vous fait sursauter.
Examinez avec la plus grande attention les URL des sites visités. La moindre variation par rapport à l'adresse usuelle doit éveiller vos soupçons. Installez un antivirus réputé, en veillant à le maintenir constamment à jour pour bénéficier d'une protection optimale contre les derniers malwares en circulation.
Naviguez en utilisant un bloqueur de publicités performant, de nombreuses attaques exploitant les espaces publicitaires compromis pour se propager.
Si vous administrez des sites Web, vérifiez régulièrement leur intégrité, en vous assurant que le CMS et les codes sources n'ont pas été altérés.
En entreprise, formez vos équipes à détecter ces pièges et renforcez la sécurité globale de votre infrastructure informatique.
Source : The Hacker News, G Data CyberDefense
