Les chercheurs d’ESET, 1er éditeur européen de solutions de sécurité, ont découvert une campagne de malwares ciblant des utilisateurs sinophones en Asie du Sud-Est et de l’Est via des achats de publicités trompeuses, apparaissant dans les résultats de recherche de Google, ce qui conduit au téléchargement de programmes d’installation malveillants.

Les attaquants inconnus ont créé de faux sites web qui ressemblent à l’identique à ceux d’applications populaires telles que Firefox, WhatsApp, Signal, Skype et Telegram mais qui, en plus de fournir le logiciel légitime, diffusent également FatalRAT, un cheval de Troie d’accès à distance qui permet aux attaquants de contrôler les ordinateurs des victimes. Les attaques ont touché des utilisateurs principalement en Chine continentale, à Hong Kong et à Taïwan, mais également en Asie du Sud-Est et au Japon.

FatalRAT: un cheval de Troie d’accès à distance

FatalRAT fournit un ensemble de fonctionnalités permettant d’effectuer différentes activités malveillantes sur l’ordinateur de la victime. Le malware est notamment capable d’enregistrer les frappes au clavier, de voler ou de supprimer les données stockées par certains navigateurs, ainsi que télécharger et exécuter des fichiers. ESET Research a observé ces attaques entre août 2022 et janvier 2023, mais des versions précédentes des installateurs ont été utilisées depuis au moins mai 2022.

Les attaquants ont enregistré plusieurs noms de domaine qui pointaient tous vers la même adresse IP : un serveur hébergeant plusieurs sites web diffusant des logiciels intégrant le cheval de Troie. La plupart de ces sites web semblent identiques à leurs homologues légitimes, mais proposent des programmes d’installation malveillants. Les autres sites web, probablement traduits par les attaquants, proposent des versions en chinois de logiciels qui ne sont pas disponibles en Chine, comme Telegram. Si, en théorie, les victimes potentielles peuvent être redirigées vers ces faux sites web de différentes manières, un site d’information en langue chinoise a signalé qu’une publicité menant à l’un de ces sites web malveillants était apparue lors d’une requête de recherche pour le navigateur Firefox dans Google.

Les attaquants ont acheté des publicités pour positionner leurs sites web malveillants dans la section sponsorisée des résultats de recherche de Google.

ESET a signalé ces publicités à Google, qui les a rapidement supprimées.

Le but de ces attaques 

« Les attaquants pourraient être uniquement intéressés par le vol d’informations telles que des identifiants web, afin de les vendre sur des forums clandestins, ou de les utiliser pour un autre type de campagne criminelle. Mais pour l’instant l’attribution spécifique de cette campagne à un acteur connu voire nouveau n’est pas possible » explique Matías Porolli, le chercheur d’ESET qui a découvert la campagne. « Il est important de vérifier l’URL que l’on consulte avant de télécharger un logiciel. Mieux encore, saisissez-la dans la barre d’adresse de votre navigateur après avoir vérifié qu’il s’agit bien du site réel souhaité, » conseille M. Porolli.

Pour plus d’informations techniques sur cette campagne de malwares, consultez l’article « These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia » sur WeLiveSecurity.

Suivez l’actualité d’ESET Research sur Twitter