L’une des plus anciennes astuces de malware du livre – des sites Web piratés prétendant que les visiteurs doivent mettre à jour leur navigateur Web avant de pouvoir afficher un contenu – a repris vie au cours des derniers mois. De nouvelles recherches montrent que les attaquants à l’origine d’un tel système ont développé un moyen ingénieux d’empêcher leurs logiciels malveillants d’être supprimés par des experts en sécurité ou par les forces de l’ordre : en hébergeant les fichiers malveillants sur une blockchain de crypto-monnaie décentralisée et anonyme.
En août 2023, un chercheur en sécurité Randy McEoin a blogué sur une arnaque qu’il a qualifiée EffacerFauxqui utilise des sites WordPress piratés pour proposer aux visiteurs une page prétendant que vous devez mettre à jour votre navigateur avant de pouvoir afficher le contenu.
Les fausses alertes de navigateur sont spécifiques au navigateur que vous utilisez. Ainsi, si vous surfez sur le Web avec Chrome, par exemple, vous recevrez une invite de mise à jour de Chrome. Ceux qui sont trompés en cliquant sur le bouton de mise à jour verront un fichier malveillant déposé sur leur système qui tente d’installer un cheval de Troie volant des informations.
Plus tôt ce mois-ci, des chercheurs de la société de sécurité basée à Tel Aviv Garde ont déclaré avoir suivi une version mise à jour de l’arnaque ClearFake qui comprenait une évolution importante. Auparavant, le groupe avait stocké ses fichiers de mise à jour malveillants sur Cloudflare, a indiqué Guardio.
Mais lorsque Cloudflare a bloqué ces comptes, les attaquants ont commencé à stocker leurs fichiers malveillants sous forme de transactions de crypto-monnaie dans le système. Chaîne intelligente Binance (BSC), une technologie conçue pour exécuter des applications décentralisées et des « contrats intelligents », ou des accords codés qui exécutent automatiquement des actions lorsque certaines conditions sont remplies.
Nati Talresponsable de la sécurité chez Laboratoires Guardio, l’unité de recherche de Guardio, a déclaré que les scripts malveillants intégrés dans les sites WordPress piratés créeront un nouveau contrat intelligent sur la blockchain BSC, en commençant par une adresse blockchain unique contrôlée par l’attaquant et un ensemble d’instructions définissant les fonctions et la structure du contrat. Lorsque ce contrat est interrogé par un site Web compromis, il renvoie une charge utile obscurcie et malveillante.
« Ces contrats offrent des moyens innovants de créer des applications et des processus », Tal a écrit avec son collègue Guardio Oleg Zaïtsev. « En raison de la nature accessible au public et immuable de la blockchain, le code peut être hébergé » en chaîne « sans possibilité de retrait. »
Tal a déclaré que l’hébergement de fichiers malveillants sur la Binance Smart Chain est idéal pour les attaquants, car la récupération du contrat malveillant est une opération gratuite qui a été initialement conçue dans le but de déboguer les problèmes d’exécution du contrat sans aucun impact réel.
« Vous bénéficiez ainsi d’un moyen gratuit, non suivi et robuste d’obtenir vos données (la charge utile malveillante) sans laisser de traces », a déclaré Tal.
Adresses BSC contrôlées par les attaquants – depuis le financement, la création de contrats et les mises à jour continues du code. Image : Guardio
En réponse aux questions de KrebsOnSecurity, le Chaîne intelligente BNB (BSC) a déclaré que son équipe est consciente des logiciels malveillants qui abusent de sa blockchain et s’attaque activement au problème. La société a déclaré que toutes les adresses associées à la propagation du malware avaient été mises sur liste noire et que ses techniciens avaient développé un modèle pour détecter les futurs contrats intelligents utilisant des méthodes similaires pour héberger des scripts malveillants.
« Ce modèle est conçu pour identifier et atténuer de manière proactive les menaces potentielles avant qu’elles ne puissent causer des dommages », a écrit BNB Smart Chain. « L’équipe s’engage à surveiller en permanence les adresses impliquées dans la propagation de scripts malveillants sur le BSC. Pour renforcer ses efforts, l’équipe technique travaille à relier les adresses identifiées qui diffusent des scripts malveillants au KYC centralisé. [Know Your Customer] informations, lorsque cela est possible.
Guardio affirme que les escrocs à l’origine du programme malveillant BSC utilisent le même code malveillant que les attaquants dont McEoin a parlé en août et appartiennent probablement au même groupe. Mais un rapport publié aujourd’hui par une société de sécurité de messagerie Point de preuve affirme que la société suit actuellement au moins quatre groupes d’acteurs menaçants distincts qui utilisent de fausses mises à jour de navigateur pour distribuer des logiciels malveillants.
Proofpoint note que le groupe principal à l’origine du faux système de mise à jour du navigateur utilise cette technique pour propager des logiciels malveillants depuis cinq ans, principalement parce que cette approche fonctionne toujours bien.
« Les fausses mises à jour de navigateur sont efficaces parce que les acteurs malveillants utilisent contre eux la formation de sécurité de l’utilisateur final », explique Proofpoint. Miller poussiéreux a écrit. « Dans la formation de sensibilisation à la sécurité, il est demandé aux utilisateurs d’accepter uniquement les mises à jour ou de cliquer sur des liens provenant de sites ou d’individus connus et fiables, et de vérifier que les sites sont légitimes. Les fausses mises à jour du navigateur abusent de cette formation car elles compromettent les sites de confiance et utilisent des requêtes JavaScript pour effectuer discrètement des vérifications en arrière-plan et écraser le site Web existant avec un leurre de mise à jour du navigateur. Pour un utilisateur final, il semble toujours s’agir du même site Web qu’il avait l’intention de visiter et il lui demande désormais de mettre à jour son navigateur.
Il y a plus de dix ans, ce site publiait Les trois règles de Krebs pour la sécurité en lignedont la règle n°1 était : «Si vous ne l’avez pas cherché, ne l’installez pas.« Il est bon de savoir que cette approche technologiquement indépendante de la sécurité en ligne reste tout aussi pertinente aujourd’hui.
