ESET Research découvre un vrai cheval Troie caché dans deux fausses applications très populaires en Asie du Sud-Est et Asie de l’Est

Prochain article

 

  • Les chercheurs d’ESET ont découvert une campagne de malwares ciblant des utilisateurs sinophones en Asie du Sud-Est et de Asie l’Est.
  • Les attaquants ont acheté des publicités pour positionner leurs sites web malveillants dans la section sponsorisée des résultats de recherche de Google. ESET a signalé ces annonces à Google, qui les a rapidement supprimées.
  • Les sites web et les programmes d’installation téléchargés à partir de ces sites sont pour la plupart en chinois et dans certains cas, proposent à tort, des versions en chinois de logiciels qui ne sont pas disponibles en Chine.
  • Nous avons observé que les victimes se trouvaient principalement en Asie du Sud-Est et de l’Est, ce qui suggère que les publicités ciblaient cette région.
  • Le malware diffusé par cette campagne est FatalRAT, un cheval de Troie d’accès à distance qui fournit un ensemble de fonctionnalités permettant d’effectuer différentes opérations malveillantes sur l’ordinateur de la victime.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une campagne de malwares ciblant des utilisateurs sinophones en Asie du Sud-Est et de l’Est via des achats de publicités trompeuses, apparaissant dans les résultats de recherche de Google, ce qui conduit au téléchargement de programmes d’installation malveillants. Les attaquants inconnus ont créé de faux sites web qui ressemblent à l’identique à ceux d’applications populaires telles que Firefox, WhatsApp, Signal, Skype et Telegram, mais qui, en plus de fournir le logiciel légitime, diffusent également FatalRAT, un cheval de Troie d’accès à distance qui permet aux attaquants de contrôler les ordinateurs des victimes. Les attaques ont touché des utilisateurs principalement en Chine continentale, à Hong Kong et à Taïwan, mais également en Asie du Sud-Est et au Japon.

FatalRAT fournit un ensemble de fonctionnalités permettant d’effectuer différentes activités malveillantes sur l’ordinateur de la victime. Le malware est notamment capable d’enregistrer les frappes au clavier, de voler ou de supprimer les données stockées par certains navigateurs, ainsi que télécharger et exécuter des fichiers. ESET Research a observé ces attaques entre août 2022 et janvier 2023, mais selon notre télémétrie, des versions précédentes des installateurs ont été utilisées depuis au moins mai 2022.

Les attaquants ont enregistré plusieurs noms de domaine qui pointaient tous vers la même adresse IP : un serveur hébergeant plusieurs sites web diffusant des logiciels intégrant le cheval de Troie. La plupart de ces sites web semblent identiques à leurs homologues légitimes, mais proposent des programmes d’installation malveillants. Les autres sites web, probablement traduits par les attaquants, proposent des versions en chinois de logiciels qui ne sont pas disponibles en Chine, comme Telegram. Si en théorie les victimes potentielles peuvent être redirigées vers ces faux sites web de différentes manières, un site d’information en langue chinoise a signalé qu’une publicité menant à l’un de ces sites web malveillants était apparue lors d’une requête de recherche pour le navigateur Firefox dans Google. Les attaquants ont acheté des publicités pour positionner leurs sites web malveillants dans la section sponsorisée des résultats de recherche de Google. Nous avons signalé ces publicités à Google, qui les a rapidement supprimées.

« Bien que nous n’ayons pas pu reproduire de tels résultats de recherche, nous pensons que les publicités n’ont été diffusées qu’aux utilisateurs de la région ciblée, » explique Matías Porolli, le chercheur d’ESET qui a découvert la campagne. « Étant donné que de nombreux noms de domaine enregistrés par les attaquants pour leurs sites web sont très similaires aux domaines légitimes, il est également possible que les attaquants s’appuient sur le détournement d’URL pour attirer des victimes potentielles sur leurs sites web, » ajoute-t-il.

« Les attaquants pourraient être uniquement intéressés par le vol d’informations telles que des identifiants web, afin de les vendre sur des forums clandestins, ou de les utiliser pour un autre type de campagne criminelle. Mais pour l’instant, l’attribution spécifique de cette campagne à un acteur connu voire nouveau n’est pas possible, » précise M. Porolli. « Enfin, il est important de vérifier l’URL que l’on consulte avant de télécharger un logiciel. Mieux encore, saisissez-la dans la barre d’adresse de votre navigateur après avoir vérifié qu’il s’agit bien du site réel souhaité, » conseille M. Porolli.

Pour plus d’informations techniques sur cette campagne de malwares, consultez l’article « These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Pays où ESET a détecté les attaques entre août 2022 et janvier 2023

Contact Presse :

Darina SANTAMARIA - +33 01 55 89 08 88 -  darina.j@eset-nod32.fr

Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Instagram.