ALERTE : Fausse mise à jour de Chrome - Virus (25.03.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Fausse mise à jour de Chrome - Virus (25.03.20)

Messagede pierre » 29 Mar 2020, 12:07

ALERTE : le laboratoire de l'antivirus DrWEB signale qu'une fausse mise à jour de Google Chrome est actuellement poussée.

Les cybercriminels propagent une porte dérobée dangereuse en poussant une fausse mise à jour de Google Chrome.

25 mars 2020

Les analystes de l'antivirus DrWEB rapportent que certains sites Web (blogs d'actualités en ligne et sites Web d'entreprise créés à l'aide du CMS WordPress), ont été compromis. Un script JavaScript intégré dans le code des pages compromises redirige les visiteurs vers un site de phishing où ils sont invités à installer une (fausse) mise à jour de sécurité importante pour le navigateur Google Chrome. Le fichier téléchargeable est un programme d'installation de logiciels malveillants, exploitant les technologies du bien connu et excellent logiciel TeamViewer qui permet aux attaquants d'accéder à distance et de contrôler les ordinateurs infectés. Jusqu'à présent (25 mars 2020), plus de 2000 personnes ont téléchargé la fausse mise à jour.

Selon le laboratoire de DrWeb, le groupe de hackers derrière cette attaque était auparavant impliqué dans la diffusion d'un faux installateur du populaire éditeur vidéo VSDC via son site officiel et la plate-forme de téléchargements logicielle CNet. Cette fois, les cybercriminels ont réussi à obtenir un accès administratif à plusieurs sites Web qui ont commencé à être utilisés dans la chaîne d'infection. Ils ont intégré un code JavaScript malveillant dans les pages compromises qui redirige les utilisateurs vers un site de Phishing - attaque pour perpétrer une usurpation d'identité., qui est présenté comme un service Google légitime.

Image

La sélection des cibles est basée sur la géolocalisation et la détection du navigateur. Le public cible est composé d'utilisateurs des États-Unis, du Canada, d'Australie, de Grande-Bretagne, d'Israël et de Turquie, utilisant le navigateur Google Chrome. Il convient de noter que le fichier téléchargé a une signature numérique valide identique à la signature du faux installateur NordVPN distribué par le même groupe criminel.

Le mécanisme d'infection est implémenté comme suit. Au lancement du programme d'installation, il crée un dossier dans le répertoire %userappdata% qui contient des fichiers pour l'application de contrôle à distance TeamViewer et décompresse deux archives SFX protégées par mot de passe. Une archive contient deux composants: une bibliothèque msi.dll malveillante, qui permet d'établir une connexion non autorisée à un ordinateur infecté et un fichier de commandes pour lancer le navigateur Google Chrome avec l'apparence de la page de démarrage légitime de Google [.] Com. La deuxième archive contient un script (Scripts et langages de scripts) pour contourner la protection antivirus intégrée de Microsoft Windows. La bibliothèque msi.dll est chargée dans la mémoire RAM par le processus TeamViewer, cachant simultanément son activité à l'utilisateur.

À l'aide de la porte dérobée, les attaquants sont en mesure de fournir des modules de Charge utile (Payload) contenant des logiciels contaminant les appareils infectés, tels que :

L'enregistreur de frappe (Keylogger) X-Key,
Le voleur de données, dont de mots de passe (Password Stealer) Predator The Thief (un voleur de données sophistiqué qui est actif et en perpétuelle améliorations depuis plus de 1 an 1/2. Ce qui a commencé comme des expériences de codage dans le développement de logiciels malveillants est devenu une menace à part entière avec laquelle il faut compter. Les versions actuelles de Predator The Thief utilisent diverses techniques anti-débogage et anti-analyse pour compliquer l'analyse de la part des chercheurs tout en effectuant un vol de données en douceur. Predator the Thief a été initialement proposé à la vente sur un forum russe du Dark Web par Alexuiop1337, le 17 juin 2018.).
Un Cheval de Troie (Trojan) () pour contrôler à distance le protocole RDP.

Tous les logiciels malveillants mentionnés sont détectés et supprimés avec succès par Dr.Web. La page de phishing avec un contenu malveillant a été ajoutée à la base de données Dr.Web des sites Web dangereux et non recommandés.

Source : https://news.drweb.com/show/?i=13746&lng=en
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26553
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Fausse mise à jour de Chrome - Virus (25.03.20)

Messagede pierre » 23 Juin 2020, 15:19

Clôture de l'alerte.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26553
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 8 invités