Se connecter
Inscription
Mot de passe perdu
De faux installateurs d’applis populaires ciblent l'Asie du Sud-Est avec un dangereux cheval de Troie, une découverte d’ESET
Publié le 17/02/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
• Les chercheurs d'ESET ont découvert une campagne de maliciels ciblant les personnes parlant le chinois en Asie de l’Est et du Sud-Est.
• Les attaquants achètent des publicités pour positionner leurs sites Web dans la section "sponsorisé" des résultats de recherche Google. ESET l’a signalé et Google les a rapidement enlevées.
• Les sites Web et les installateurs téléchargés à partir de ceux-ci sont principalement en chinois et proposent des versions en chinois de logiciels non disponibles en Chine.
• ESET a observé des victimes, principalement en Asie de l’Est et du Sud-Est, ce qui suggère que les publicités ciblaient ces régions.
• Le maliciel diffusé est FatalRAT, un cheval de Troie d'accès à distance qui fournit des fonctionnalités pour effectuer diverses activités malveillantes sur l'ordinateur d'une victime.
BRATISLAVA, MONTREAL, le 17 février 2023 — Des chercheurs d'ESET ont découvert une campagne de maliciels ciblant les personnes de langue chinoise en Asie de l’Est et du Sud-Est au moyen de publicités trompeuses qui apparaissent dans les résultats de recherche Google et permettent le téléchargement d'installateurs troyens. Les attaquants ont créé de faux sites Web identiques à ceux d'applis populaires telles que Firefox, WhatsApp, Signal, Skype et Telegram, mais en plus du logiciel légitime, ils fournissent aussi FatalRAT, un cheval de Troie d'accès à distance qui permet de contrôler l'ordinateur victime. Les attaques ont principalement touché la Chine continentale, Hong Kong Taïwan, mais aussi l’Asie du Sud-Est et le Japon.
FatalRAT fournit un ensemble de fonctionnalités pour effectuer diverses activités malveillantes sur l'ordinateur victime. Entre autres fonctionnalités, le maliciel peut capturer des frappes de clavier, voler ou supprimer des données stockées par certains navigateurs et télécharger et exécuter des fichiers. ESET Research l’a observé entre août 2022 et janvier 2023, mais d’après sa télémétrie, des versions précédentes de ces programmes sont utilisées depuis au moins mai 2022.
Les attaquants ont enregistré divers domaines pointant tous vers la même adresse IP : un serveur hébergeant plusieurs sites Web qui téléchargent des chevaux de Troie. La plupart de ces sites semblent identiques à leurs homologues légitimes, mais proposent des installateurs malveillants. Les autres sites Web, éventuellement traduits par les attaquants, proposent des versions en langue chinoise de logiciels non disponibles en Chine, comme Telegram. Alors qu'en théorie, les victimes potentielles peuvent être dirigées vers ces faux sites Web de différentes manières. Un site d'information en chinois a signalé qu'on montrait une publicité menant à l'un de ces sites Web malveillants lors de la recherche du navigateur Firefox dans Google. Les attaquants ont acheté des publicités pour positionner leurs sites malveillants dans la section « sponsorisé » des résultats de recherche Google; ESET a signalé ces annonces et Google les a rapidement enlevées.
"Alors qu’actuellement nous n'avons pas pu reproduire de tels résultats de recherche, nous pensons que les publicités n'ont été diffusées qu'aux utilisateurs de la région ciblée", explique Matías Porolli, le chercheur d'ESET ayant découvert la campagne. "Puisque les nombreux noms de domaine que les attaquants ont enregistrés pour leurs sites Web sont fort similaires aux domaines légitimes, il est possible que les attaquants s'appuient sur le détournement d'URL pour attirer des victimes potentielles sur leurs sites Web", ajoute-t-il.
"Il se peut que les attaquants ne s’intéressent qu’au vol d'informations, telles que l'identification Web, pour les vendre sur des forums clandestins, ou pour les utiliser pour d’autres types de campagnes criminelles, mais actuellement l'attribution spécifique de cette campagne à un acteur connu ou nouveau n'est pas possible », explique Porolli et il conseille : "Il est important de vérifier l'URL que nous visitons avant de télécharger un logiciel. Mieux encore, mettez-le dans la barre d'adresse de votre navigateur après avoir vérifié qu'il s'agit bien du site du fournisseur».
Pour plus d'informations techniques sur cette campagne, consultez le blog “These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter pour les nouvelles à ropos d‘ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
• Les attaquants achètent des publicités pour positionner leurs sites Web dans la section "sponsorisé" des résultats de recherche Google. ESET l’a signalé et Google les a rapidement enlevées.
• Les sites Web et les installateurs téléchargés à partir de ceux-ci sont principalement en chinois et proposent des versions en chinois de logiciels non disponibles en Chine.
• ESET a observé des victimes, principalement en Asie de l’Est et du Sud-Est, ce qui suggère que les publicités ciblaient ces régions.
• Le maliciel diffusé est FatalRAT, un cheval de Troie d'accès à distance qui fournit des fonctionnalités pour effectuer diverses activités malveillantes sur l'ordinateur d'une victime.
BRATISLAVA, MONTREAL, le 17 février 2023 — Des chercheurs d'ESET ont découvert une campagne de maliciels ciblant les personnes de langue chinoise en Asie de l’Est et du Sud-Est au moyen de publicités trompeuses qui apparaissent dans les résultats de recherche Google et permettent le téléchargement d'installateurs troyens. Les attaquants ont créé de faux sites Web identiques à ceux d'applis populaires telles que Firefox, WhatsApp, Signal, Skype et Telegram, mais en plus du logiciel légitime, ils fournissent aussi FatalRAT, un cheval de Troie d'accès à distance qui permet de contrôler l'ordinateur victime. Les attaques ont principalement touché la Chine continentale, Hong Kong Taïwan, mais aussi l’Asie du Sud-Est et le Japon.
FatalRAT fournit un ensemble de fonctionnalités pour effectuer diverses activités malveillantes sur l'ordinateur victime. Entre autres fonctionnalités, le maliciel peut capturer des frappes de clavier, voler ou supprimer des données stockées par certains navigateurs et télécharger et exécuter des fichiers. ESET Research l’a observé entre août 2022 et janvier 2023, mais d’après sa télémétrie, des versions précédentes de ces programmes sont utilisées depuis au moins mai 2022.
Les attaquants ont enregistré divers domaines pointant tous vers la même adresse IP : un serveur hébergeant plusieurs sites Web qui téléchargent des chevaux de Troie. La plupart de ces sites semblent identiques à leurs homologues légitimes, mais proposent des installateurs malveillants. Les autres sites Web, éventuellement traduits par les attaquants, proposent des versions en langue chinoise de logiciels non disponibles en Chine, comme Telegram. Alors qu'en théorie, les victimes potentielles peuvent être dirigées vers ces faux sites Web de différentes manières. Un site d'information en chinois a signalé qu'on montrait une publicité menant à l'un de ces sites Web malveillants lors de la recherche du navigateur Firefox dans Google. Les attaquants ont acheté des publicités pour positionner leurs sites malveillants dans la section « sponsorisé » des résultats de recherche Google; ESET a signalé ces annonces et Google les a rapidement enlevées.
"Alors qu’actuellement nous n'avons pas pu reproduire de tels résultats de recherche, nous pensons que les publicités n'ont été diffusées qu'aux utilisateurs de la région ciblée", explique Matías Porolli, le chercheur d'ESET ayant découvert la campagne. "Puisque les nombreux noms de domaine que les attaquants ont enregistrés pour leurs sites Web sont fort similaires aux domaines légitimes, il est possible que les attaquants s'appuient sur le détournement d'URL pour attirer des victimes potentielles sur leurs sites Web", ajoute-t-il.
"Il se peut que les attaquants ne s’intéressent qu’au vol d'informations, telles que l'identification Web, pour les vendre sur des forums clandestins, ou pour les utiliser pour d’autres types de campagnes criminelles, mais actuellement l'attribution spécifique de cette campagne à un acteur connu ou nouveau n'est pas possible », explique Porolli et il conseille : "Il est important de vérifier l'URL que nous visitons avant de télécharger un logiciel. Mieux encore, mettez-le dans la barre d'adresse de votre navigateur après avoir vérifié qu'il s'agit bien du site du fournisseur».
Pour plus d'informations techniques sur cette campagne, consultez le blog “These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter pour les nouvelles à ropos d‘ESET Research.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
24/07/2024 @ 12:00:30
Poster un commentaire
Jeux Vidéos
Internet
Google
Android
Mobile
