Table des matières
Introduction
Parmi les familles d’infostealers distillées dans la nature, un nombre important est vendu en tant que Malware-as-a-Service (MaaS) dans l’écosystème russophone de la cybercriminalité. Ces activités permettent aux acteurs de la menace de dérober des données sensibles (communément appelées logs) en grandes quantités. Celles-ci sont ensuite vendues sur des marketplaces centralisées ou décentralisées. Aujourd’hui nombreux sont les cybercriminels qui se sont spécialisés dans la distribution de ces infostealers. Leurs activités sont guidées par l’appât du gain financier.
Cet article de blog vise à présenter les principales techniques, outils et schémas d’ingénierie sociale utilisés par les cybercriminels de l’écosystème russophone pour distribuer des infostealers et observés par les analystes de Sekoia.io au cours de l’année dernière. Ces analyses sont issues des sessions d’observations et d’investigations des analystes de Sekoia.io. Elles sont basées sur les activités des acteurs de la menace sur les forums clandestins et les canaux Telegram. Elles s’appuient également sur les multiples canaux de distribution exploités par ces acteurs de la menace pour distribuer des infostealers.
Contexte
Au cours des dernières années, les cybercriminels de l’écosystème infostealer russophone ont exploité plusieurs canaux de distribution pour diffuser leurs logiciels malveillants à un large public. Les chaînes d’infection observées combinent principalement l’ingénierie sociale sur différents supports, et des ressources techniques accessibles avec un faible niveau d’effort.
Les schémas d’ingénierie sociale utilisés par les acteurs de la menace chargés de rediriger le trafic des utilisateurs vers des contenus malveillants, communément appelés « traffers », exploitent notamment les tutoriels d’installations malveillants de logiciels légitimes, les versions piratées de logiciels commerciaux et les fausses mises à jour d’outils de travail. Ces leurres ciblent un grand nombre de victimes potentielles. L’on compte parmi ces cibles : de simples individus travaillant sur leurs machines personnelles mais aussi des employés connectés aux réseaux de leur entreprise. Les programmes d’ingénierie sociale visent à gagner la confiance des victimes potentielles et à les rediriger vers les ressources contrôlées par l’acteur de la menace.
Parmi ces ressources contrôlées par l’attaquant et sur lesquelles sont rédirigées les victimes, l’on retrouve des landing pages, des sites web frauduleux dédiées où se trouve directement la charge utile malveillante. Ces ressources peuvent être hébergées sur des serveurs privés virtuels (VPS), des serveurs compromis ou des services Web légitimes abusés. Certains acteurs de la menace exploitent les systèmes de distribution du trafic (TDS) ou les réseaux de diffusion de contenu (CDN) tels que Cloudflare pour protéger leur serveur et restreindre l’accès au contenu malveillant.
En plus des méthodes d’ingénierie sociale, les cybercriminels utilisent des techniques telles que la publicité malveillante, le SEO poisoning, le malspam et la redirection à partir de messages légitimes sur les forums pour diriger les victimes sur leurs ressources malveillantes. Alors que le malvertising et le SEO poisoning visent à classer les sites web malveillants en haut des résultats des moteurs de recherche pour relayer largement un site Web, le malspam et la redirection de forum sont utilisés pour cibler un éventail spécifique de victimes potentielles.
Les acteurs de la menace discutent souvent de ces techniques, outils et ingénierie sociale sur des forums clandestins, et partagent des commentaires, des conseils et des tutoriels. Les sections suivantes visent à présenter ces techniques, à illustrer leur utilisation et à partager des techniques pour mieux y faire face.
Malvertising et SEO poisoning pour propager des sites Web malveillants
Malvertising à grande échelle
Au second semestre 2022, les analystes de Sekoia.io ont observé plusieurs sites web malveillants usurpant l’identité de pages web légitimes de logiciels populaires et promus par des services publicitaires de confiance (tels que Google Ads). Cette technique est généralement appelée publicité malveillante ou malvertising.
Les attaquants profitent de services publicitaires fiables pour :
- Vous assurez que leurs sites web se classent parmi les meilleurs résultats des moteurs de recherche, généralement avant même le site web légitime usurpé;
- Gagner la confiance de la victime – car Google, Facebook, Bing et d’autres sont des plateformes de confiance pour la plupart de ses utilisateurs;
- Relayer largement leurs sites web – car les moteurs de recherche sont les plateformes web les plus visités;
- Cibler les utilisateurs en fonction de leur emplacement ou de leur langue, car la plupart des services publicitaires permettent aux clients des services de publicité Pay-Per-Click de personnaliser le ciblage de leurs campagnes.
Par exemple, en janvier 2023, une campagne publicitaire abusant du service Google Ads a diffusé un site web malveillant (zoomdowndesktop[.] store) usurpant l’identité du site officiel de Zoom. Le site web malveillant a redirigé le visiteur vers le téléchargement d’une charge utile de l’infostealer Vidar.
D’après nos observations, Google Ads est le service le plus utilisé par les cybercriminels pour distribuer des infostealers. Bien que moins habituels, les auteurs de la menace utilisent également des publicités sur d’autres plateformes avec des objectifs et des avantages similaires. Les analystes de Sekoia.io ont identifié l’usage par les cybercriminels de plateformes tels que Facebook, Instagram, Bing, Yahoo, Twitter, YouTube, TikTok, LinkedIn et Pinterest pour leurs services publicitaires.
La technique d’atténuation de la publicité malveillante est possible, notamment par l’installation d’extensions de navigateur bloquant les publicités.
Un aperçu de l’utilisation de Google Ads par les cybercriminels russophones
Tout en surveillant les cybercriminels russophones sur les forums clandestins et les canaux Telegram, Sekoia.io a identifié les procédures utilisées par les acteurs de la menace pour exploiter le service Google Ads à des fins malveillantes.
Les cybercriminels utilisent des comptes Google volés ou « détournés » (c’est-à-dire des comptes créés et utilisés de manière légitime dans un premier temps, puis exploités pour distribuer du contenu malveillant). Pour détourner un compte Google nouvellement créé, les cybercriminels effectuent généralement plusieurs opérations pour créer un profil Google non suspect. Ils utilisent d’abord une adresse proxy dans le pays ciblé, puis génèrent du trafic légitime à partir d’un navigateur anti-détection pour créer des cookies à partir de la navigation web classique. Quelques jours plus tard, ils créent un nouveau compte Google et génèrent des activités pendant plusieurs jours à partir des services Google, par exemple, Drive, Agenda, Maps, Youtube.
Nous estimons que la principale raison de l’utilisation de comptes volés ou « détournés » est qu’un compte existant avec des activités, une longévité et un historique de transactions gagne une confiance accrue du point de vue de la politique publicitaire de Google. Plus le compte Google a des interactions humaines, plus il est crédible du point de vue des algorithmes anti-bot, et moins il est susceptible d’être détecté.
Pour les comptes Google volés et « réchauffés, détournés», les attaquants suivent ensuite un processus de création Google Ads, qui consiste à définir le profil avec l’identité d’une personne réelle, l’adresse IP du pays ciblé, un user-agent d’un système d’exploitation informatique, un numéro de téléphone (hors numéros gratuits) et le mode de paiement qui doit être situé dans la géolocalisation cible. Les cybercriminels paient alors pour une première publicité, qui devrait être légitime, et sont encouragés à faire de la publicité pour une « offre réelle» (c’est-à-dire une redirection publicitaire vers des sites web légitimes) pour garder la confiance des algorithmes de vérification.
Le processus est inévitable pour les acteurs de la menace afin de conserver une bonne réputation et d’éviter les interdictions et de minimiser le nombre de paiements marqués comme suspects. Les analystes de Sekoia.io estiment qu’il est probable que cette technique soit utilisée par des acteurs malveillants familiers avec les plateformes publicitaires et exploitées comme procédures de sécurité opérationnelles pour s’assurer que leurs campagnes ne soient pas entravées. Ainsi, ils ne sont pas accessibles à tous les criminels distribuant des infostealers.
Pour les pages de destination usurpant l’identité de sites web de logiciels légitimes, certains cybercriminels définissent d’abord les annonces Google avec le lien d’origine du site web usurpé, puis le remplacent par le lien de la page de destination malveillante après quelques jours. Il est fort probable que cette technique empêcherait le service publicitaire de Google de détecter et d’arrêter la publicité malveillante, et donc d’interdire le compte associé.
Focus sur les comptes Google détournés et volés
Les ressources nécessaires à l’opérationnalisation des comptes Google détournés et volés pour la publicité de pages de destination malveillantes sont à l’origine d’une activité clandestine de comptes Google Ads. Certains acteurs de la menace se spécialisent dans la vente de ceux-ci.
Vous trouverez ci-dessous une offre de compte Google Ads mis en vente sur un canal Telegram spécialisé. Basé sur la capture de l’interface Google Ads de l’acteur de la menace, le compte volé est actif, crédité chaque mois de 1 000€, situé en Allemagne et utilisé depuis 2018. Ces caractéristiques rendent ce compte particulièrement précieux, d’où le montant de 2 500$ fixé par le vendeur. Nous avons observé que les prix des comptes Google Ads prêts à l’emploi peuvent varier de 100 $ à plusieurs milliers de dollars.
Les entreprises qui utilisent Google Ads pour promouvoir leurs produits ou services doivent savoir que les acteurs de la menace détournent des comptes Google pour promouvoir discrètement des sites web malveillants. Bien que les comptes compromis ne soient pas faciles à détecter, la surveillance des campagnes publicitaires peut contribuer à identifier les abus d’un compte associé.
Le SEO poisoning toujours utilisé pour distribuer des infostealers
Le SEO poisoning est un mécanisme qui consiste à positionner un site web en haut des résultats des moteurs de recherche, en abusant des algorithmes de classement. En 2022, Sekoia.io a observé que cette technique était encore couramment utilisée pour distribuer des infostealers.
Les analystes de Sekoia.io ont remarqué que le SEO poisoning était exploité pour déployer plusieurs familles de logiciels malveillants Loader, notamment BatLoader, GootLoader, PrivateLoader ou NullMixer, ainsi que des infostealers très répandus tels que Redline, Raccoon et Vidar.
Le SEO poisoning reste l’une des techniques les plus efficaces et les plus fiables pour les cybercriminels pour :
- Attirer efficacement les victimes potentielles, notamment lorsque les utilisateurs recherchent intentionnellement le site web. Le taux de conversion est donc élevé;
- Générer du trafic à long terme – les sites Web empoisonnés peuvent rester en tête des résultats des moteurs de recherche pendant plusieurs mois ou années;
- Éviter la détection – Le SEO poisoning est une menace complexe à détecter et à contrecarrer.
Comme elle nécessite une bonne connaissance du référencement et des compétences en développement web, l’optimisation de l’indexation des moteurs de recherche est plus difficile à mettre en œuvre que d’autres sources de trafic. En effet, les acteurs de la menace doivent concevoir et concevoir un site web avec un contenu de haute qualité, des mots-clés pertinents, de multiples références pour créer l’engagement des utilisateurs et du trafic. Pour les analystes de Sekoia.io, cela explique presque certainement pourquoi cette technique est exploitée par très peu d’acteurs de menace et seulement par les plus avancés en termes de compétences SEO.
Les sites web exploités grâce à cette technique sont généralement plus furtifs et plus persistants au fil du temps, comme détaillé dans notre article de blog de janvier 2023.
Nous estimons donc que le SEO poisoning est une technique adoptée par les cybercriminels pour mener des campagnes de distribution furtive à long terme.
Pages de destination utilisées par les cybercriminels russes pour attirer les victimes
Au second semestre 2022 et début 2023, les analystes de Sekoia.io ont observé une résurgence des pages de destination usurpant l’identité de sites web légitimes de logiciels populaires, tels que Anydesk, Brave, Slack, TeamViewer et Zoom. Nous suivons également plusieurs infrastructures à l’aide de modèles de pages de destination issues des catalogues de logiciels libres piratés ou légitimes pour distribuer des logiciels malveillants.
Les deux types de pages de destination sont des techniques d’ingénierie sociale couramment utilisées par les cybercriminels pour attirer les visiteurs et, dans la plupart des cas observés, les rediriger vers le téléchargement et l’exécution d’un infostealer. Du point de vue d’un attaquant, ces sites web sont simples et rapides à configurer. Lorsqu’ils sont combinés à des techniques efficaces de génération de trafic, ces schémas d’ingénierie sociale peuvent être complexes à détecter.
Pages de destination usurpant l’identité de sites web légitimes de logiciels populaires
Parmi tous les logiciels, jeux vidéo ou pages web d’authentification usurpés, un nouveau leurre est apparu en masse début 2023 : les landing pages usurpant l’identité du site OpenAI. En effet, la page web présentant ChatGPT, un chatbot d’intelligence artificielle développé par OpenAI, a été activement utilisée pour inciter les utilisateurs à télécharger un programme malveillant se faisant passer pour ChatGPT. Ce leurre a notamment été utilisé pour distribuer des stealers tels que Aurora et Stealc.
Il est à noter que les analystes de Sekoia.io ont observé des campagnes de publicité malveillante utilisant des pages de destination malveillantes qui usurpent l’identité de sites web légitimes, protégés derrière un système de distribution de trafic à plusieurs reprises (pour plus de détails, voir la section Système de distribution du trafic pour générer un trafic de haute qualité). Sekoia.io a observé également que plusieurs acteurs de menaces utilisent le service Cloudflare comme proxy, pour masquer le serveur d’origine et restreindre l’accès.
Services d’acteurs de la menace vendant des pages de destination sur des forums clandestins russophones
Les modèles de page de destination se trouvent couramment dans les forums clandestins russophones tels que XSS et Zelenka, ainsi que sur les chaînes Telegram. Ils sont notamment vendus par des acteurs de la menace pour quelques dizaines de dollars, ou proposés en tant que service payant pour développer des pages web de destination ou des sites Web.
Vous trouverez ci-dessous un exemple de service de page de destination promu sur Telegram.
(Traduit du russe)
Pages de destination pour déverser
Commandez une bande de détroit: Conçu (par modèle) – 10-15 $, Créé à partir de zéro – 20-40 $,
Landing page clé en main – 35-50 $ (+ hébergement et domaine) Services supplémentaires: voler une page de destination prête à l’emploi – à partir de 25 $, Installation sur l’hébergement – 10 $
Dans l’exemple ci-dessus, l’acteur de la menace qui passe par nightiks vend des modèles déjà conçus pour une somme modique. Les modèles concernent respectivement un catalogue de logiciels Adobe gratuits et la page web de téléchargement d’OBS Studio. L’acteur de la menace indique clairement que ces pages de destination visent à « se déverser », ce qui signifie propager des logiciels malveillants.
Système de distribution du trafic pour générer un trafic de haute qualité
Les acteurs de menaces plus avancés tirent parti d’un système de distribution du trafic (TDS) pour protéger leur infrastructure qui héberge ou redirige vers du contenu malveillant et pour sélectionner le trafic ciblé. Dans l’écosystème russophone de la cybercriminalité, cette technique est communément appelée « клоака », traduit par cloaque ou cloaking.
Le TDS agit comme un intermédiaire qui filtre le trafic entrant pour afficher différents contenus à des segments d’audience spécifiques. Un TDS redirige les requêtes humaines du public ciblé vers l’infrastructure adverse, et redirige les requêtes de bot et le trafic indésirable vers une ressource insignifiante.
En ce qui concerne le SEO poisoning ou la publicité : bien que cette technique ne soit pas malveillante en soi, elle est utilisée à des fins malveillantes par plusieurs acteurs de la menace.
Les acteurs de la menace tirent parti de TDS pour générer un trafic de haute qualité, ce qui leur permet de :
- Cibler des emplacements géographiques spécifiques, car les données volées des utilisateurs de certains pays (par exemple, les États-Unis, l’Europe) ont plus de valeur que d’autres;
- Empêcher l’analyse et la détection de leur infrastructure, car TDS peut rejeter les demandes de bots, de scanners ou autres en fonction d’agents utilisateurs spécifiques, d’adresses IP et de temps de réponse.
Conclusion
Les infostealers vendus avec ce modèle économique sont accessibles à un grand nombre d’acteurs de la menace à moindre coût. Étant donné que ces infostealers sont conçus comme des solutions clés en main, leur utilisation nécessite de faibles compétences techniques. La surveillance des canaux de distribution dans la nature ou sur les forums de cybercriminalité permet aux analystes de Sekoia.io d’avoir une vue d’ensemble des infostealers les plus répandus, émergents et nouveaux distribués par les cybercriminels de l’écosystème russophone.
De multiples acteurs de la menace dotés de niveaux de compétences hétérogènes partagent des techniques, des outils et des schémas d’ingénierie sociale similaires dans le but de compromettre un grand nombre de victimes. Pour fournir à nos clients des informations exploitables, Sekoia.io suit certaines des chaînes d’infection les plus exploitées en recherchant de manière proactive des pages web qui réutilisent les caractéristiques des pages légitimes et des modèles de catalogues de logiciels libres ou piratés.
Échangez avec l’équipe
Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !
Merci d’avoir lu cet article. N’hésitez pas à partager vos commentaires, et à lire d’autres rapports TDR ici :
- CALISTO poursuit sa campagne de collecte d’informations d’identification
- Traffers: a deep dive into the information stealer ecosystem
- Unveiling of a large resilient infrastructure distributing information stealers
- Lapsus$: when kiddies play in the big league
- EternityTeam: a new prominent threat group on underground forums
- APT28 leverages multiple phishing techniques to target Ukrainian civil society