Une nouvelle campagne de distribution de malware a été identifiée

Une nouvelle campagne de propagation de malwares a été identifiée. Des sites web compromis seraient exploités pour diffuser de fausses mises à jour logicielles et installer des outils d'accès à distance. Ces derniers permettraient de transférer des fichiers, lancer des applications et récupérer à distance des informations sur le système.

Scénario d'infection et de propagation :

Les attaquants propagent le malware en tirant parti de sites web compromis et en y déposant le malware qu'ils font passer pour la mise à jour d'une application populaire telle que Chrome ou Firefox. Les utilisateurs acceptant la prétendue mise à jour téléchargent et exécutent en réalité un script JavaScript malveillant.

Scénario d'attaque :

Le script collecte les informations de base du système et les envoie au serveur qui en retour envoie des commandes supplémentaires. Enfin, la charge utile finale est téléchargée et exécutée sur le poste de la victime. Le code exploite les commandes PowerShell pour télécharger plusieurs fichiers à partir du serveur dont notamment un exécutable 7zip, une archive protégée par mot de passe contenant le cheval de Troie et un script batch permettant d'installer le client NetSupport sur le système. Le script batch a également été conçu pour désactiver le rapport d'erreurs Windows et ajouter l'exécutable de l'outil d'accès à distance à la liste des programmes autorisés du pare-feu. Enfin, il lance l'outil d'accès à distance.