Posté le février 17, 2023 à 7:03

DES HACKERS DIFFUSENT LE LOGICIEL MALVEILLANT FATALRAT À DES VICTIMES DE LANGUE CHINOISE EN UTILISANT DE FAUSSES ANNONCES GOOGLE

Des hackers ont ciblé des victimes de langue Chinoise situées en Asie du Sud-Est et de l’Est. Le groupe est visé par des hackers qui utilisent une campagne de publicité Google malveillante. Cette campagne déploie des chevaux de Troie d’accès à distance comme FataRAT pour compromettre les machines ciblées.

Des hackers diffusent le logiciel malveillant FatalRAT à l’aide des publicités Google

Les attaques consistent à acheter des emplacements publicitaires apparaissant dans les résultats de recherche de Google et à diriger les utilisateurs vers des sites malveillants. Les utilisateurs ciblés recherchent généralement certaines des applications les plus populaires, mais les hackers détournent leurs résultats de recherche pour les diriger vers de faux sites.

Les faux sites Web créés par les hackers contiennent des installateurs de chevaux de Troie. ESET a publié un rapport confirmant que les publicités malveillantes ont depuis été supprimées des résultats de recherche. Parmi les applications que les hackers ont usurpées figurent Google Chrome, WhatsApp, Telegram, Mozilla Firefox, Signal, Skype, LINE, Electrum, WPS Office, Youdao et Sogou Pinyin Method.

L’entreprise slovaque de cybersécurité a publié un rapport indiquant que les installateurs téléchargés à partir de ces applications étaient principalement rédigés en Chinois et proposaient même une version en Chinois d’un logiciel qui n’existait pas encore sur le marché.

« Les sites web et les installateurs téléchargés à partir de ceux-ci sont pour la plupart en Chinois et, dans certains cas, proposent faussement des versions en langue Chinoise de logiciels qui ne sont pas disponibles en Chine », indique le rapport. La firme a également ajouté qu’elle avait observé l’activité de ces hackers entre août 2022 et janvier 2023.

La plupart des victimes visées par ce groupe de hackers sont basées en Chine, à Hong Kong et à Taiwan. Plus de victimes se trouvent en Indonésie, au Japon, en Malaisie, au Myanmar, à Singapour, aux Philippines et en Thaïlande. Les chercheurs n’ont pas encore déterminé l’objectif des hackers.

L’une des caractéristiques remarquables de cet exploit est que l’attaquant a créé des sites Web similaires avec des domaines typosquattés. Il a utilisé ces domaines pour déployer le programme d’installation malveillant, ce qui lui a permis d’accéder à la machine ciblée. En outre, le hacker a pris des mesures pour réduire la possibilité d’être détecté en installant un logiciel légitime. Cependant, ils déposent par la suite un chargeur qui permet de déployer le logiciel malveillant FatalRAT.

En procédant ainsi, l’attaquant obtient le contrôle total de la machine de la victime. Cependant, il n’exécute pas de commandes shell arbitraires ni de fichiers sur l’appareil ciblé. Ils récoltent ensuite des données à partir de diverses plateformes, notamment les navigateurs Web, tout en capturant les frappes au clavier effectuées par la victime sur son appareil.

Les chercheurs ont par ailleurs noté que les hackers avaient pris le temps de s’assurer que les domaines qu’ils utilisaient sur leurs sites Web malveillants étaient aussi proches que possible des noms des sites Web originaux. Ils ont constaté que les sites Web malveillants étaient généralement des copies identiques de sites légitimes.

Ce rapport intervient moins d’un an après la révélation par Trend Micro d’une campagne Purple Fox qui s’appuyait sur des progiciels viciés imitant certaines des applications les plus populaires telles qu’Adobe, Google Chrome, Telegram et WhatsApp comme vecteur initial de déploiement du logiciel malveillant FatalRAT.

L’un des chercheurs d’ESET, Matías Porolli, a déclaré : « Nous n’avons pas pu confirmer si ces deux enquêtes sont liées. Bien qu’il existe des similitudes (utilisation de FatalRAT, utilisation de faux installateurs), nous n’avons pas trouvé de similitudes dans la chaîne de composants utilisée pour délivrer le RAT ou dans l’infrastructure utilisée par les attaquants. »

Cette campagne de piratage intervient à un moment où l’on constate un abus généralisé des publicités Google. Ces publicités sont utilisées pour diffuser des logiciels malveillants et accéder aux pages d’hameçonnage d’identifiants des utilisateurs.

Les campagnes de piratage s’intensifient en Asie

Le rapport d’ESET intervient à un moment où les entreprises de cybersécurité font la lumière sur l’augmentation des attaques de cybersécurité ciblant l’Asie. Symantec a récemment partagé des informations sur des campagnes de logiciels malveillants « très petites » et « ciblées » qui ont tiré parti d’un implant basé sur .NET, connu sous le nom de Frebniis, qui n’avait pas été documenté auparavant.

Selon le rapport, ces campagnes de piratage sont un peu ciblées sur Taïwan. Symantec indique dans ce rapport que la stratégie de piratage utilisée par Frebniis consiste à déployer un code malveillant dans la mémoire d’un fichier DLL lié à une fonction IIS. Ce fichier est utilisé pour dépanner et analyser les requêtes Web qui ont échouées.

Symantec a déclaré que les hackers ont utilisé cette stratégie pour que le logiciel malveillant ne soit pas détecté, car il surveille les requêtes HTTP et reconnaît toute requête HTTP spécialement formatée. La société a ajouté que l’attaquant à l’origine de l’exploit n’avait pas encore été identifié. On ignore encore comment il a obtenu l’accès à l’ordinateur Windows contrôlant le serveur Internet Information Services (IIS).