Menaces cyber : le grand retour du malvertising
Des acteurs malveillants utilisent de plus en plus des publicités Google pour attirer les internautes vers des maliciels voleurs de données, des infostealers. Une menace aux conséquences potentielles considérables, y compris pour les entreprises.
Le concept de malvertising n’est pas nouveau, mais il fait un retour en fanfare. Le principe ? Leurrer des internautes, les appâter avec des publicités, notamment avec des résultats sponsorisés, payants, dans les recherches avec Google, pour les conduire à télécharger non pas le logiciel populaire qui les intéresse, mais un mauvais succédané empoisonné. Ou bien en misant sur le SEO pour détourner les résultats de recherche, comme l’a largement documenté Sekoia.io.
Au lancement, c’est moins le logiciel promis qui s’exécute qu’un maliciel voleur de données – ou dérobeur, dit-on parfois –, un information stealer, en anglais, ou infostealer.
Parmi les logiciels actuellement utilisés pour allécher et piéger les internautes, on trouve notamment Capcut, Blender 3D, VirtualBox, OBS (un logiciel de streaming open source), le lecteur multimédia VLC, Notepad+++, WinRAR, Ccleaner, ou encore Audacity. Mais on peut également citer CryptoTab, FileZilla, KMPlayer, Lightshot, ou encore 7-Zip. Les exemples ne manquent pas ;
Par exemple, de vraies fausses annonces pour OBS ont récemment été observées pour distribuer l’infostealer Rhadamanthyse. Avast vient d’alerter sur des campagnes de malvertising utilisées pour distribuer le rançongiciel Magniber.
Les logiciels d’entreprise ne sont pas épargnés. Les équipes de Sekoia.io ont référencé plus de 1 300 noms de domaine hébergeant des pages Web usurpant l’identité de l’outil AnyDesk. Des pages Web qui renvoient vers le même lien DropBox d’où télécharger l’infostealer Vidar. Des exercices de typosquatting – une pratique consistant à utiliser un nom de domaine usurpant l’identité d’une organisation ayant pignon sur rue – ont également été observés pour d’autres logiciels d’entreprise tels que Slack, Zoom (pour distribuer IcedID, notamment), voire TeamViewer.
Quel risque pour une personne physique ?
Hash Miser, expert en sécurité au sein d’un CERT, indique que les infostealers constituent « la menace que l’on adresse le plus »… depuis quelques mois, à raison de « plusieurs tentatives d’infection par semaine ».
C’est à cette menace que les équipes informatiques du monde de l’enseignement supérieur ont dû de passer les vacances de Noël en état d’alerte.
Problème : la menace est relativement furtive. Hash Miser précise ainsi : « dans la plupart des cas, le stealer s’exécute, collecte les données, les exfiltre, et […] s’arrête ou se supprime ». Pas de traces, donc, ou relativement peu, pour une « exécution one shot ».
Pour ne rien gâcher, les solutions de maquillage permettant d’échapper à la détection avec des antivirus basés uniquement sur des signatures ne manquent pas.
Le temps de l’exécution et de l’exfiltration, des données telles que les mots de passe et cookies de session des navigateurs peuvent être dérobés, de même que les portefeuilles de crypto-pépettes.
Et indirectement pour une entreprise ?
Ces données peuvent être parfois exploitées très rapidement, en particulier s’il s’agit d’essayer de contourner des protections telles que les mécanismes d’authentification à facteurs multiples, avant que les jetons de session n’aient expiré. Un enseignant de l’université de Barcelone indique en avoir fait les frais avec le détournement de son compte Google.
Mais cela peut aller beaucoup plus vite, comme en témoignait récemment NFD God sur Twitter : « la nuit dernière, mon entière vie numérique a été violée. Chaque compte connecté à moi personnellement et professionnellement a été piraté et utilisé pour faire du mal à d’autres ». En moins de 24 h donc, et sans compter la perte d’une somme importante. Tout cela ayant commencé par une tentative de téléchargement d’OBS. Alors qu’en apparence, rien ne s’était passé au lancement de l’exécutable téléchargé.
Si les conséquences peuvent être considérables pour un particulier, elles peuvent être dévastatrices à l’échelle d’une entreprise. Les accès obtenus avec un infostealer peuvent être utilisés pour accéder à des applications professionnelles en mode SaaS, ou des ressources informatiques virtualisées et/ou accessibles à distance, comme une ferme RDS, par exemple, ou un VPN SSL, voire des environnements Citrix et VMware. En bout de chaîne ? La menace d’une cyberattaque avec ransomware, notamment.
Raisons et protections
L’an dernier, Microsoft a renforcé les protections de Windows contre l’exécution de macros contenues dans des fichiers Office téléchargés sur Internet. Les contournements existent (comme emballer le document dans une archive), mais les cybercriminels semblent avoir manifestement ressenti le besoin de trouver des alternatives additionnelles, le tout sur fond de progression de l’activité enregistrée autour des infostealers.
En l’absence de solution parfaite contre cette menace, une réorientation des efforts de sensibilisation des utilisateurs peut aider, associée au recours à des mécanismes de blocage des publicités, sur le poste de travail (ou l’ordinateur personnel, dans un contexte de BYOD), ou sur le réseau.