Les acteurs de la menace créent de faux sites Web hébergeant des installateurs de logiciels troyens pour inciter les utilisateurs sans méfiance à télécharger un logiciel malveillant de téléchargement appelé Fruity dans le but d’installer des outils de chevaux de Troie à distance comme Remcos RAT.
« Parmi les logiciels en question figurent divers instruments permettant de régler avec précision les processeurs, les cartes graphiques et le BIOS ; des outils de surveillance du matériel informatique ; et quelques autres applications », a déclaré le fournisseur de cybersécurité Doctor Web dans une analyse.
« Ces programmes d’installation sont utilisés comme leurre et contiennent non seulement les logiciels qui intéressent les victimes potentielles, mais également le cheval de Troie lui-même avec tous ses composants. »
Le vecteur d’accès initial exact utilisé dans la campagne n’est pas clair, mais il pourrait potentiellement aller du phishing aux téléchargements intempestifs en passant par les publicités malveillantes. Les utilisateurs qui atterrissent sur le faux site sont invités à télécharger un package d’installation ZIP.
Le programme d’installation, en plus d’activer le processus d’installation standard, supprime furtivement le cheval de Troie Fruity, un logiciel malveillant basé sur Python qui décompresse un fichier MP3 (« Idea.mp3 ») pour charger un fichier image (« Fruit.png ») afin d’activer le multi- stade infectieux.
« Ce fichier image utilise la méthode de stéganographie pour masquer deux exécutables (bibliothèques .dll) et le shellcode pour l’initialisation de la prochaine étape à l’intérieur », a déclaré Doctor Web.
Fruity est également conçu pour contourner la détection antivirus sur l’hôte compromis et finalement lancer la charge utile Remcos RAT en utilisant une technique appelée processus de doppelgänging.
Cela dit, la séquence d’attaque pourrait être exploitée pour distribuer toutes sortes de logiciels malveillants, ce qui oblige les utilisateurs à s’en tenir à télécharger des logiciels uniquement à partir de sources fiables.
Le développement intervient alors que Bitdfender a divulgué les détails d’une campagne de malspam livrant le malware Agent Tesla pour récolter des données sensibles à partir de terminaux compromis.
Cela fait également suite à une augmentation des opérations de publicité malveillante qui ont ciblé les clients et les entreprises avec des logiciels contaminés stimulés via des publicités sur les moteurs de recherche.
Cela inclut une nouvelle vague d’attaques baptisée Nitrogen dans laquelle des archives ISO frauduleuses sont distribuées à l’aide de fausses publicités qui se font passer pour des pages de téléchargement d’applications telles que AnyDesk, WinSCP, Cisco AnyConnect, Slack et TreeSize.
« Cette campagne de publicité malveillante conduit à la propagation de l’infection après l’exposition initiale », ont déclaré les chercheurs de Bitdefender Victor Vrabie et Alexandru Maximciuc.
« Tant qu’ils demeurent dans le réseau de la victime, l’objectif principal des attaquants est d’obtenir des informations d’identification, de mettre en place une persistance sur des systèmes importants et d’exfiltrer des données, avec l’extorsion comme objectif final. »
