Les chercheurs d'ESET ont découvert une campagne de maliciels ciblant les personnes parlant le chinois en Asie de l’Est et du Sud-Est.- Les attaquants
achètent des publicités pour positionner leurs sites Web dans la section
"sponsorisé" des résultats de recherche Google. ESET l’a signalé
et Google les a rapidement enlevées.
- Les sites Web et
les installateurs téléchargés à partir de ceux-ci sont principalement en
chinois et proposent des versions en chinois de logiciels non disponibles
en Chine.
- ESET a observé des
victimes, principalement en Asie de l’Est et du Sud-Est, ce qui suggère
que les publicités ciblaient ces régions.
- Le maliciel
diffusé est FatalRAT, un cheval de Troie d'accès à distance qui fournit
des fonctionnalités pour effectuer diverses activités malveillantes sur
l'ordinateur d'une victime.
Des chercheurs d'ESET ont découvert une campagne de maliciels ciblant les personnes de langue chinoise en Asie de l’Est et du Sud-Est au moyen de publicités trompeuses qui apparaissent dans les résultats de recherche Google et permettent le téléchargement d'installateurs troyens. Les attaquants ont créé de faux sites Web identiques à ceux d'applis populaires telles que Firefox, WhatsApp, Signal, Skype et Telegram, mais en plus du logiciel légitime, ils fournissent aussi FatalRAT, un cheval de Troie d'accès à distance qui permet de contrôler l'ordinateur victime. Les attaques ont principalement touché la Chine continentale, Hong Kong Taïwan, mais aussi l’Asie du Sud-Est et le Japon.
FatalRAT fournit un ensemble de fonctionnalités pour effectuer diverses activités malveillantes sur l'ordinateur victime. Entre autres fonctionnalités, le maliciel peut capturer des frappes de clavier, voler ou supprimer des données stockées par certains navigateurs et télécharger et exécuter des fichiers. ESET Research l’a observé entre août 2022 et janvier 2023, mais d’après sa télémétrie, des versions précédentes de ces programmes sont utilisées depuis au moins mai 2022.
Les attaquants ont enregistré divers domaines pointant tous vers la même adresse IP : un serveur hébergeant plusieurs sites Web qui téléchargent des chevaux de Troie. La plupart de ces sites semblent identiques à leurs homologues légitimes, mais proposent des installateurs malveillants. Les autres sites Web, éventuellement traduits par les attaquants, proposent des versions en langue chinoise de logiciels non disponibles en Chine, comme Telegram. Alors qu'en théorie, les victimes potentielles peuvent être dirigées vers ces faux sites Web de différentes manières. Un site d'information en chinois a signalé qu'on montrait une publicité menant à l'un de ces sites Web malveillants lors de la recherche du navigateur Firefox dans Google. Les attaquants ont acheté des publicités pour positionner leurs sites malveillants dans la section « sponsorisé » des résultats de recherche Google; ESET a signalé ces annonces et Google les a rapidement enlevées.
"Il se peut que les attaquants ne s’intéressent qu’au vol d'informations, telles que l'identification Web, pour les vendre sur des forums clandestins, ou pour les utiliser pour d’autres types de campagnes criminelles, mais actuellement l'attribution spécifique de cette campagne à un acteur connu ou nouveau n'est pas possible », explique Porolli et il conseille : "Il est important de vérifier l'URL que nous visitons avant de télécharger un logiciel. Mieux encore, mettez-le dans la barre d'adresse de votre navigateur après avoir vérifié qu'il s'agit bien du site du fournisseur».
Pour plus d'informations techniques sur cette campagne, consultez le blog “These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter pour les nouvelles à ropos d‘ESET Research.