De fausses mises à jour de navigateur propagent les malwares BitRAT et Lumma Stealer

Les chercheurs en cybersécurité de l’unité de réponse aux menaces (TRU) d’eSentire ont détecté des cas de fausses mises à jour de navigateur livrant plusieurs infections par des malwares, y compris des chevaux de Troie d’accès à distance (RAT) et des malwares de vol d’informations, BitRAT et Lumma Stealer (également connu sous le nom de LummaC2).

Selon un rapport récent de la société de cybersécurité eSentire, ces fausses mises à jour de navigateur sont également responsables du malware bien connu SocGholish, qui a été identifié dans de nouvelles attaques.

En 2024, il a été observé que FakeBat était distribué en utilisant des mécanismes de fausses mises à jour similaires.

L’attaque commence lorsqu’une victime potentielle visite un site compromis contenant un code JavaScript malveillant injecté qui dirige l’utilisateur vers la page de mise à jour de navigateur factice, comme “chatgpt-app[.]cloud”.

De plus, le site chatgpt-app[.]cloud contient un lien pour télécharger une archive ZIP (“Update.zip”), qui est hébergée sur le réseau de distribution de contenu (CDN) de Discord et téléchargée automatiquement sur l’appareil de la victime.

“Le fichier JavaScript (Update.js) contenu dans l’archive ZIP agit comme un téléchargeur initial pour récupérer les charges utiles une fois exécutées par la victime. L’archive contient plusieurs scripts PowerShell responsables du téléchargement et de l’exécution du chargeur et des charges utiles de la prochaine étape à partir de http://77[.]221[.]151[.]31,” indique le rapport.

“L’adresse IP identifiée dans le script PowerShell est une adresse de Command-and-Control (C2) BitRAT connue, qui héberge à la fois les charges utiles BitRAT et Lumma Stealer. Les fichiers ont l’extension .png, mais contiennent le chargeur, des mécanismes de persistance et les charges utiles.”

Le rapport a ajouté : “Les deux fichiers contenant les charges utiles malveillantes a.png et s.png incluent un contournement AMSI, le code qui exploite la réflexion dans .NET pour charger et exécuter dynamiquement la charge utile dans le processus RegSvcs.exe.”

eSentire note que le téléchargeur est probablement annoncé comme un “service de livraison de malware” car il est utilisé pour déployer à la fois BitRAT et Lumma Stealer.

BitRAT est un outil d’accès à distance polyvalent qui permet aux attaquants un contrôle étendu sur les systèmes infectés. Il leur permet de récolter des données, de voler des informations sensibles, de surveiller l’activité des utilisateurs, de télécharger des binaires supplémentaires et même de déployer des malwares supplémentaires.

D’autre part, Lumma Stealer est un voleur d’informations commercial capable de récolter des informations précieuses, telles que des portefeuilles de cryptomonnaie, des extensions de navigateur 2FA et d’autres données sensibles, à partir des machines des victimes.

“L’appât de fausse mise à jour de navigateur est devenu courant parmi les attaquants comme moyen d’entrée dans un appareil ou un réseau,” a déclaré la société, ajoutant qu’il “démontre la capacité de l’opérateur à exploiter des noms de confiance pour maximiser la portée et l’impact.”

Les hackers utilisent souvent Discord comme vecteur d’attaque pour les malwares. Une analyse récente de Bitdefender a révélé que plus de 50 000 liens dangereux ont été circulés au cours des six derniers mois pour distribuer des malwares, des campagnes de phishing et du spam.

Pendant ce temps, une étude distincte de ReliaQuest a révélé qu’une nouvelle variante de la campagne ClearFake trompe les utilisateurs en les incitant à copier, coller et exécuter manuellement un code PowerShell malveillant sous le couvert d’une fausse mise à jour de navigateur.

Cela a entraîné l’installation du malware LummaC2, qui était l’un des principaux voleurs d’informations en 2023, comme l’a noté un autre rapport de ReliaQuest.

“Le nombre de journaux obtenus par LummaC2 mis en vente a augmenté de 110 % du T3 au T4 2023. La popularité croissante de LummaC2 parmi les adversaires est probablement due à son taux de réussite élevé, qui fait référence à son efficacité à infiltrer avec succès les systèmes et à exfiltrer des données sensibles sans détection,” a noté ReliaQuest.