Une campagne en cours s’est avérée exploiter un réseau de sites Web agissant comme un « compte-gouttes en tant que service » pour fournir un ensemble de charges utiles de logiciels malveillants aux victimes à la recherche de versions « piratées » d’applications commerciales et grand public populaires.
« Ces logiciels malveillants comprenaient un assortiment de robots de fraude aux clics, d’autres voleurs d’informations et même des ransomwares », des chercheurs de la société de cybersécurité Sophos mentionné dans un rapport publié la semaine dernière.
Les attaques fonctionnent en tirant parti d’un certain nombre de pages d’appâts hébergées sur WordPress qui contiennent des liens de « téléchargement » vers des packages logiciels, qui, lorsqu’elles sont cliquées, redirigent les victimes vers un autre site Web qui fournit des plug-ins de navigateur et des logiciels malveillants potentiellement indésirables, tels que installateurs pour Voleur de raton laveur, Stop ransomware, la porte dérobée Glupteba et une variété de mineurs de crypto-monnaie malveillants qui se font passer pour des solutions antivirus.
« Les visiteurs qui arrivent sur ces sites sont invités à autoriser les notifications ; s’ils le permettent, les sites Web émettent à plusieurs reprises de fausses alertes de malware », ont déclaré les chercheurs. « Si les utilisateurs cliquent sur les alertes, ils sont dirigés vers une série de sites Web jusqu’à ce qu’ils arrivent à une destination déterminée par le système d’exploitation du visiteur, le type de navigateur et l’emplacement géographique. »
À l’aide de techniques telles que l’optimisation des moteurs de recherche, les liens vers les sites Web apparaissent en haut des résultats de recherche lorsque les individus recherchent des versions piratées d’un large éventail d’applications logicielles. Les activités, considérées comme le produit d’une place de marché souterraine pour les services de téléchargement payant, permettent aux cyberacteurs débutants de mettre en place et d’adapter leurs campagnes en fonction du ciblage géographique.
Les échanges de trafic, comme on appelle aussi l’infrastructure de distribution, nécessitent généralement un paiement Bitcoin avant que les affiliés puissent créer des comptes sur le service et commencer à distribuer des installateurs, avec des sites comme InstallBest offrant des conseils sur les « meilleures pratiques », comme déconseiller l’utilisation d’hôtes basés sur Cloudflare. pour les téléchargeurs, ainsi que l’utilisation d’URL dans le CDN de Discord, Bitbucket ou d’autres plates-formes cloud.
En plus de cela, les chercheurs ont également trouvé certains des services qui agissent comme des « intermédiaires » vers des réseaux de publicité malveillants établis qui paient les éditeurs de sites Web pour le trafic. L’un de ces fournisseurs de trafic établis est InstallUSD, un réseau publicitaire basé au Pakistan, qui a été lié à un certain nombre de campagnes de logiciels malveillants impliquant les sites de logiciels piratés.
C’est loin d’être la première fois que des sites Web « warez » sont utilisés comme vecteur d’infection par des acteurs malveillants. Plus tôt en juin, un mineur de crypto-monnaie appelé Crackonosh a été trouvé en train d’abuser de la méthode pour installer un package de mineur de pièces appelé XMRig pour exploiter furtivement les ressources de l’hôte infecté pour exploiter Monero.
Un mois plus tard, les attaquants derrière un malware baptisé MosaicLoader ont été retrouvés ciblant des individus à la recherche de logiciels piratés dans le cadre d’une campagne mondiale visant à déployer une porte dérobée complète capable de connecter les systèmes Windows compromis à un botnet.