Les cybercriminels diffusent de fausses publicités Google pour des logiciels populaires comme Zoom ou Brave. Ces annonces redirigent vers des sites malveillants qui injectent le malware FakeBat. Cette campagne vise à voler des données sensibles et à prendre le contrôle des appareils infectés.
Vous pensiez simplement télécharger Zoom pour votre prochaine visioconférence, et vous vous retrouvez à la place, sans avoir rien compris, avec un malware sur votre ordinateur. C'est horrible, mais « normal ». Des cybercriminels ont lancé une vaste campagne de publicités trompeuses sur Google, les fameux malvertisings, pour piéger les utilisateurs cherchant à installer ce genre de logiciels très recherchés sur le Web.
Au lieu de rediriger vers les sites officiels, ces annonces mènent à des pages malveillantes distribuant le malware FakeBat. Une fois installé, il peut voler vos données personnelles et prendre le contrôle de votre appareil.
FakeBat : un malware multitâche redoutable
On vous en avait déjà parlé chez Clubic, mais si vous n'étiez pas là, voici une session de rattrapage : FakeBat fait partie de ces chargeurs de malware qui sévissent par la méthode du « drive by download ». Mais qu'est-ce donc que cela ? Un logiciel malveillant est téléchargé et installé sur un ordinateur sans le consentement ou la connaissance de l'utilisateur. Cela peut se produire lorsque l'utilisateur visite un site Web compromis ou malveillant, qui exploite des vulnérabilités dans le navigateur Web ou ses plugins pour injecter le malware. C'est aussi simple que c'en est redoutable.
En théorie, le malware FakeBat, également connu sous les noms de EugenLoader et PaykLoader, fonctionne principalement en exploitant des campagnes de malvertising pour cibler les utilisateurs cherchant à télécharger des logiciels populaires comme Zoom, Notion, KeePass ou Brave, par exemple. Voici comment il opère :
- Distribution par malvertising : les cybercriminels créent des publicités malveillantes qui redirigent les utilisateurs vers des sites Web imitant ceux des logiciels légitimes. Ces sites hébergent des installateurs MSIX trojanisés, déguisés en versions authentiques des logiciels recherchés, en l'occurrence Brave, ou Zoom
- Installation et exécution de scripts : une fois téléchargé, l'installateur MSIX trojanisé exécute un script PowerShell malveillant. Ce script est conçu pour télécharger une charge utile secondaire, qui peut inclure divers types de malwares tels que IcedID, RedLine Stealer, ou Carbanak. Le script PowerShell est exécuté grâce à une configuration appelée startScript, qui permet de lancer des scripts avant l'application principale
- Persistance et collecte de données : FakeBat collecte des informations système, telles que les détails du système d'exploitation et les produits antivirus installés, et envoie ces données à un serveur de commande et de contrôle (C2). Il peut également créer un raccourci dans le dossier StartUp pour assurer sa persistance sur le système infecté.
- Évasion de la détection : Le malware utilise des techniques d'obscurcissement pour échapper à la détection par les logiciels de sécurité. Par exemple, il peut désactiver l'Antimalware Scan Interface (AMSI) de Windows pour éviter d'être détecté lors de l'exécution de ses scripts malveillants.
En pratique, lorsqu'un utilisateur clique sur une publicité malveillante, il est redirigé vers un faux site de téléchargement imitant celui du logiciel recherché. Le fichier téléchargé contient en réalité le malware FakeBat, déguisé en installateur légitime. Une fois exécuté, FakeBat s'installe discrètement sur l'appareil et commence son travail de sape.
Attention, FakeBat est multitâches et peut notamment :
- Voler les mots de passe et informations de connexion stockés dans les navigateurs
- Capturer les frappes au clavier pour intercepter les identifiants saisis
- Prendre des captures d'écran à l'insu de l'utilisateur
- Enregistrer l'audio et la vidéo via le micro et la webcam
- Exfiltrer des fichiers sensibles présents sur l'appareil
- Télécharger et exécuter d'autres malwares
- Prendre le contrôle à distance de l'appareil infecté
La suite, on la connaît. Toutes ces données peuvent être utilisées pour du phishing, une demande de rançon, dans le cadre de la revente sur le Dark Web ou de l'usurpation d'identité.
FakeBat est déployé par un groupe nommé UNC4536, qui opère sous un modèle Malware-as-a-Service (MaaS), fournissant des charges utiles personnalisées à d'autres cybercriminels. Ce modèle permet aux attaquants de distribuer efficacement des malwares tout en restant discrets et difficiles à détecter.
Comment éviter de tomber dans le piège
Pour éviter de vous faire piéger par de fausses annonces et des téléchargements malveillants, quelques réflexes simples peuvent faire toute la différence. La première des précautions à prendre est de rester sur ses gardes en résistant à la tentation des publicités, même sur Google. Il vaut toujours mieux cliquer sur les résultats organiques que sur les annonces sponsorisées qui trônent en tête des résultats. Avant de télécharger quoi que ce soit, là encore, prudence. Prenez le temps de vérifier attentivement l'URL du site Web, car les sites officiels ont généralement de simples adresses reconnaissables, contrairement aux URL longues ou tarabiscotées. Il est également recommandé de toujours télécharger depuis les sites officiels des éditeurs, et d'éviter les plateformes tierces de téléchargement qui peuvent être des sources de logiciels modifiés.
Par ailleurs, l'utilisation d'un bloqueur de publicités peut aider à limiter l'exposition aux annonces malveillantes qui se manifestent souvent sous la forme de popups indésirables. De plus, l'installation d'une extension de sécurité Web comme Web of Trust (en désactivant le traçage) peut permettre d'identifier les sites potentiellement dangereux. Il est également judicieux d'activer la protection contre le phishing et les logiciels malveillants dans son navigateur, et de garder son système d'exploitation ainsi que ses logiciels à jour pour bénéficier des derniers correctifs de sécurité.
Enfin, on n'oubliera pas d'utiliser un logiciel antivirus, et de le maintenir à jour, ainsi que de ne pas aller trop vite sur les autorisations demandées lors de l'installation d'un logiciel. Au moindre doute, n'hésitez pas à rechercher le nom du logiciel suivi de « malware » ou « scam » dans votre navigateur préféré pour vérifier s'il ne fait pas l'objet d'une campagne de malware récente.
En résumé, pour être sûr de ne pas se retrouver vérolé, lorsque l'on souhaite télécharger un logiciel, la méthode la plus sûre consiste à le rechercher dans un moteur de recherche, à ignorer les annonces en haut de page, à cliquer sur le site officiel dans les premiers résultats organiques, à vérifier l'URL et les certificats de sécurité du site, et enfin à télécharger depuis la page officielle de l'éditeur.
- Excellent moteur de détection
- Interface moderne
Source : The Hacker News