Un outil de publicité numérique signé a réussi à déployer des charges utiles avec des privilèges SYSTEM, désactivant ainsi les protections antivirus sur de nombreux points de terminaison, notamment dans les secteurs de l’éducation, des services publics, du gouvernement et de la santé.
En l’espace d’une journée, plus de 23 500 hôtes infectés ont été identifiés dans 124 pays, tentant de se connecter à l’infrastructure opérée par les cybercriminels, avec des centaines d’exemplaires présents dans des réseaux de haute valeur.
Une menace plus qu’un simple adware
Les chercheurs en sécurité de l’entreprise Huntress ont détecté cette campagne le 22 mars, lorsque des exécutables signés, considérés comme des programmes potentiellement indésirables (PUPs), ont déclenché des alertes dans divers environnements gérés.
Ces PUPs, souvent perçus comme des logiciels dérangeants, ont pour objectif de générer des revenus pour leurs développeurs en affichant des publicités ou en redirigeant les navigateurs.
L’analyse menée par Huntress a révélé que le logiciel était signé par une entreprise du nom de Dragon Boss Solutions LLC, impliquée dans des activités de « monétisation de recherche » et faisant la promotion de plusieurs outils (comme Chromstera Browser, Chromnius, WorldWideWeb, entre autres), qui ont été identifiés comme des PUPs par divers outils de sécurité.
Source : Huntress
Au-delà de la simple dégradation de l’expérience utilisateur, les chercheurs de Huntress indiquent que les navigateurs de Dragon Boss Solutions intègrent un mécanisme de mise à jour sophistiqué permettant le déploiement d’un outil capable de désactiver les antivirus.
Désactivation des protections
Les chercheurs ont constaté que l’opération s’appuyait sur le mécanisme de mise à jour de l’outil commercial Advanced Installer pour déployer des MSI et des charges utiles en PowerShell.
Une analyse du fichier de configuration pour le processus de mise à jour a mis en évidence plusieurs drapeaux rendant l’opération totalement silencieuse, sans aucune interaction de l’utilisateur. Ce processus installait des charges utiles avec des privilèges élevés, interdisait la désactivation des mises à jour automatiques et vérifiait fréquemment la présence de nouvelles mises à jour.
Le processus de mise à jour récupère une charge utile MSI (Setup.msi) déguisée en image GIF, actuellement signalée comme malveillante par seulement cinq fournisseurs de sécurité sur VirusTotal.
Cette charge utile MSI inclut plusieurs DLL légitimes utilisées par Advanced Installer pour accomplir des tâches spécifiques, comme l’exécution de scripts PowerShell, la recherche de logiciels spécifiques sur le système, ou d’autres actions personnalisées définies dans un fichier séparé nommé ‘!_StringData‘, contenant des instructions pour l’installateur.
Avant de déployer la charge utile principale, l’installateur MSI effectue des vérifications administratives, détecte les machines virtuelles, vérifie la connectivité Internet et interroge le registre pour identifier les produits antivirus installés, comme Malwarebytes, Kaspersky, McAfee et ESET.
Les produits de sécurité sont désactivés par un script ClockRemoval.ps1, situé en deux endroits. Les chercheurs rapportent également que les installateurs des navigateurs Opera, Chrome, Firefox et Edge sont ciblés, probablement pour éviter toute interférence avec le détournement de navigateur opéré par l’adware.
Source : Huntress
Le script ClockRemoval.ps1 exécute également une routine au démarrage du système, à la connexion, et toutes les 30 minutes, pour s’assurer que les produits antivirus ne sont plus présents en stoppant les services, en tuant les processus, en supprimant les répertoires d’installation et les entrées de registre, tout en exécutant silencieusement les désinstallateurs des fournisseurs et en supprimant de force les fichiers si les désinstallateurs échouent.
Il empêche aussi toute réinstallation ou mise à jour des produits de sécurité en bloquant les domaines des fournisseurs via des modifications du fichier d’hôtes et un routage nul (redirection vers 0.0.0.0).
Lors de l’analyse, Huntress a constaté que l’opérateur n’avait pas enregistré le domaine principal de mise à jour (chromsterabrowser[.]com) ou celui de secours (worldwidewebframework3[.]com), offrant ainsi la possibilité de « sinkhole » pour toutes les connexions des hôtes infectés.
À cet effet, Huntress a enregistré le domaine principal de mise à jour et observé « dizaines de milliers de points de terminaison compromis cherchant des instructions qui, entre de mauvaises mains, pourraient être n’importe quoi. »
En se basant sur les adresses IP, les chercheurs ont identifié 324 hôtes infectés dans des réseaux de haute valeur :
- 221 institutions académiques en Amérique du Nord, en Europe et en Asie
- 41 réseaux de technologie opérationnelle dans les secteurs de l’énergie et des transports, ainsi que chez les fournisseurs d’infrastructures critiques
- 35 gouvernements municipaux, agences d’État et services publics
- 24 établissements d’enseignement primaire et secondaire
- 3 organisations de santé (systèmes hospitaliers et prestataires de soins de santé)
- réseaux de plusieurs entreprises du Fortune 500
BleepingComputer a tenté de contacter Dragon Boss Solutions, mais n’a pu trouver d’informations de contact en raison de l’inaccessibilité de leur site.
Huntress met en garde que, bien que l’outil malveillant utilise actuellement un désactivateur d’AV, le mécanisme permettant d’introduire des charges utiles beaucoup plus dangereuses sur les systèmes infectés est déjà en place et pourrait être utilisé à tout moment pour intensifier les attaques.
De plus, étant donné que le domaine principal de mise à jour n’avait pas été enregistré, n’importe qui pourrait le revendiquer et envoyer des charges utiles arbitraires à des milliers de machines déjà compromises, sans aucune solution de sécurité les protégeant, à travers une infrastructure déjà établie.
Huntress recommande aux administrateurs système de rechercher des abonnements d’événements WMI contenant « MbRemoval » ou « MbSetup », des tâches planifiées faisant référence à « WMILoad » ou « ClockRemoval », et des processus signés par Dragon Boss Solutions LLC.
Il est également conseillé de vérifier le fichier d’hôtes pour des entrées bloquant les domaines des fournisseurs d’AV et d’examiner les exclusions de Microsoft Defender pour des chemins suspects tels que « DGoogle », « EMicrosoft » ou « DDapps ».