Des milliers de sites internet légitimes ont été compromis et redirigent leurs visiteurs vers des infrastructures malveillantes. Cette campagne à grande échelle est attribuée à un acteur de menace identifié sous le nom de DriveSurge par les chercheurs de la société de cybersécurité SilentPush.
Ce groupe utilise deux techniques d’hameçonnage courantes, ClickFix et FakeUpdates, pour infecter les victimes. L’acteur fonctionne principalement comme un courtier d’accès initial, ce qui signifie qu’il vend l’accès à des systèmes compromis à d’autres cybercriminels.
Les visiteurs des sites piratés sont redirigés via un Système de Distribution de Trafic. Ce système, nommé zTDS, analyse les profils des victimes et choisit la technique de piège la plus adaptée.
Source : Silent Push
Le piège ClickFix trompe les victimes car elles doivent copier et exécuter des commandes PowerShell malveillantes, soi-disant pour résoudre un problème technique. Les fausses mises à jour, ou FakeUpdates, imitent des alertes de navigateurs comme Chrome, Firefox ou Edge pour inciter au téléchargement d’un logiciel malveillant.
Les chercheurs ont examiné un cas spécifique où une fausse mise à jour de Firefox a conduit au téléchargement d’une archive ZIP. Cette archive contenait un exécutable nommé « Browser Update.exe ».
Source : Silent Push
L’analyse a permis d’identifier huit empreintes techniques. Une de ces empreintes est une injection JavaScript qui suit un modèle spécifique et qui attribue un identifiant unique à chaque site compromis.
Grâce à cette enquête, plus de quatre-vingts domaines d’injection malveillants ont été découverts. Les chercheurs ont aussi trouvé une charge utile JavaScript qui est conçue pour cibler les systèmes de bureau macOS. Cette découverte montre que la campagne ne se limite pas aux ordinateurs Windows.
Les experts conseillent aux utilisateurs de ne télécharger les mises à jour de leur navigateur que depuis le menu des paramètres de l’application. Il faut aussi éviter d’exécuter des commandes dans l’invite de commandes Windows ou dans le Terminal sans les comprendre entièrement.