perm_phone_msgVotre site internet a été piraté ? S.O.S. +33 1 84 80 78 68

Une application Google Translate trojanisée dans le cadre d’une attaque de type “Watering-Hole”.

Cyber Attaques Maha Benmohamed todayseptembre 9, 2022 37

Background
share close

 

Des cyber-escrocs diffusent une application Google Translate trojanisée dans le cadre d’une attaque de type “Watering-Hole”.

Une attaque de point d’eau

Une attaque de point d’eau aussi appelée attaque de trou d’eau ( en anglais Watering Hole Attack) est une technique de cyberattaque. En fait, elle  consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine considéré comme la cible par l’attaquant.

La campagne en cours se propage dans le monde entier. C’est en utilisant l’attrait d’une application Google Translate entièrement fonctionnelle pour les ordinateurs de bureau, qui a permis à la menace de rester indétectée pendant des mois.

Une campagne de cryptomining

Une campagne de cryptomining a potentiellement infecté des milliers de machines dans le monde entier en se cachant dans un téléchargement de Google Translate pour les ordinateurs de bureau.

Ainsi, l’acteur de la menace qui se cache derrière cette campagne propose des versions gratuites de logiciels populaires qui n’ont pas de version officielle pour les ordinateurs de bureau – comme Google Translate.

En fait, sa version de l’utilitaire de traduction est distribuée selon une approche de type “watering-hole”, disponible via des sites Web tels que Softpedia( Free Windows Downloads (softpedia.com))et Uptodown (App Downloads for Android – Download, Discover, Share on Uptodown), et apparaît en tête des résultats de recherche pour “Google Translate desktop download”.

Malheureusement, les téléchargements sont des chevaux de Troie. Les victimes ne se rendront peut-être pas compte avant très longtemps (ou jamais) étant donné que l’application fonctionne comme annoncé.

 

 Une attaque conçue pour la furtivité

Cette campagne se poursuit et se propage dans le monde entier. Elle présente plusieurs caractéristiques conçues pour ne pas être détectée.

Par exemple, une fois le logiciel installé, le processus d’infection reste en sommeil pendant des semaines.

Après l’intervalle de sommeil, le processus d’infection est lancé et la victime reçoit un fichier mis à jour. Au cours de quelques jours, ce fichier charge une série enchaînée de quatre droppers sur la machine. Enfin, le dernier dropper récupère le cryptomineur XMRig, axé sur le Monero, et l’exécute.

Le téléchargement se connecte ensuite à un serveur de commande et de contrôle (C2) pour obtenir des données de configuration. Il  commence à exploiter le minerai, tandis que les attaquants suppriment toute trace du processus d’infection. Pendant ce temps, Google Translate continuera à fonctionner correctement, séparément – n’offrant aucun drapeau rouge pour l’analyse.

 

“Cela a permis à la campagne de fonctionner avec succès sous le radar pendant des années”, selon l’analyse de check Point  “De cette façon, les premières étapes de la campagne sont séparées de celles qui suivent, ce qui rend très difficile de remonter à la source de la chaîne d’infection et de bloquer les applications initialement infectées.”

 

Comment se protéger contre le cryptomining

Assaf Morag, analyste principal des données au sein de l’équipe de recherche d’Aqua Nautilus, note que cette campagne illustre la façon dont les escrocs du cryptojacking prolifèrent leurs méthodes d’attaque et continuent de s’en prendre aux pièces virtuelles comme un gain financier rapide.

 

“Certains cryptomineurs sont cachés dans des sites Web, et lorsqu’une victime peu méfiante navigue sur le site, le script de cryptomining du site Web s’exécute dans le navigateur, souvent à l’insu des utilisateurs ou sans leur consentement”, explique-t-il. “Un autre type de cryptojacking que nous avons vu récemment est souvent plus complexe. Il implique une vaste infrastructure de botnet qui scanne les vulnérabilités et les mauvaises configurations, les exploite et diffuse le malware de cryptojacking et souvent d’autres malwares visant à étendre l’attaque et à la rendre persistante.”

 

Par conséquent, les entreprises doivent renforcer leurs défenses de base, telles que:

  • Les correctifs
  • Le filtrage Web
  • Mettre en œuvre des politiques interdisant le téléchargement de tout autre logiciel que ceux approuvés sur les terminaux
  • Les capteurs réseau
  • Les serveurs
  • Les pare-feu

Et même dans ce cas, les utilisateurs ne doivent télécharger des logiciels qu’à partir de dépôts officiels( comme Google Play dans le cas présent). S’il n’existe pas d’application officielle pour le bureau, les utilisateurs doivent se contenter de la version Web.

 

 

Et si c’est trop tard ? S’ils sont infectés, “les utilisateurs constateront un problème de performance de leur système et devront potentiellement procéder à une nouvelle installation de leur système d’exploitation . C’est la solution pour débarrasser efficacement le système du malware”, explique James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4.

Source: Dark Reading | Security | Protect The Business

Written by: Maha Benmohamed

Rate it

Previous post

Besoin d'aide ?