Malsmoke

Description de Malsmoke

Malsmoke est le nom donné par les chercheurs de l'Infosec à une campagne d'attaque et au groupe de hackers qui en est responsable. Les attaquants ont déployé des menaces de logiciels malveillants infostealer sur les ordinateurs d'utilisateurs sans méfiance. Les chaînes d'attaque initiales impliquaient des kits d'exploitation ciblant les vulnérabilités d'Internet Explorer et d'Adobe Flash pour fournir le compte-gouttes Smoke Loader. S'appuyer sur les vulnérabilités d'un logiciel dans son cycle de fin de vie signifie que le groupe cible potentiel est assez limité lorsque le logiciel en question peut être considéré comme obsolète, notamment.

Ainsi, la campagne Malsmoke a décidé d'abandonner son plan d'attaque initial et de le remplacer par des publicités pop-up corrompues pour une fausse mise à jour Java - cette tactique étant capable d'affecter Google Chrome, le navigateur Web le plus utilisé. La charge utile du malware abandonné a également été modifiée, Malsmoke proposant désormais une variante de ZLoader. Initialement, ZLoader a été lancé en tant que cheval de Troie bancaire essayant de collecter diverses informations de paiement et de carte de crédit auprès de victimes infectées. Les capacités du logiciel malveillant ont ensuite été étendues à travers plusieurs versions pour transformer la menace en un collecteur d'informations à part entière capable de collecter les informations d'identification des utilisateurs et d'autres données privées auprès d'un large éventail d'institutions financières.

Pour maximiser l'exposition de leurs publicités pop-up corrompues, l'acteur de menaces derrière Malsmoke a abusé de pratiquement tous les réseaux publicitaires pour adultes. Bien que le ciblage de sites Web pour adultes soit une pratique courante pour les cybercriminels, la plupart des campagnes nuisibles ne peuvent pas dépasser les sites Web à faible trafic. Malsmoke, d'autre part, avait réussi à placer ses publicités corrompues sur xHamster, l'un des plus grands sites Web, pas seulement de l'industrie pour adultes, sur Internet avec environ un milliard de visiteurs par mois.

Les utilisateurs qui craquent pour les publicités de Malsmoke et cliquent dessus sont redirigés vers une page leurre spécialement conçue contenant plusieurs images pour de supposées vidéos pour adultes. Cependant, le démarrage de l'une des vidéos affichées entraînera un message d'erreur indiquant que Java Plug-in 8.0 est manquant. Pour continuer à regarder la vidéo, l'utilisateur est invité à télécharger une fausse mise à jour Java nommée JavaPlug-in.msi. Le fichier contient la charge utile ZLoader. Pour renforcer encore la prétention que tout est parfaitement légitime, la mise à jour corrompue est signée numériquement en tant que programme d'installation de Microsoft.

Les publicités affichées sur les sites Web pour adultes sont notoirement risquées. Les utilisateurs doivent faire preuve d'une extrême prudence lorsqu'ils décident de cliquer sur un.