Nilaa Maharjan, Logpoint Global Services & Security Research
Cet article vous présente les recherches menées sur une vague de menaces qui se développe fortement : le malvertising (via les ‘malvertisers’), et en particulier Chromeloader. Ce dernier est accompagné du rapport Logpoint intitulé ‘Emerging Threats Protection’, qui détaille les méthodes de détection, les playbooks d’investigation, les réponses recommandées et les meilleures pratiques. Il est important de noter que cette tendance ne se limite pas à Chrome ou à la seule variante qui circule à l’heure actuelle, ainsi cette étude de cas vous présente une menace bien réelle qui s’est intensifiée ces dernières semaines.
Surnommé ChromeLoader, le malware est un hacker de navigateur persistant qui modifie les paramètres du navigateur de ses victimes et redirige le trafic vers des sites Web publicitaires. Ce malware se propage à l’aide d’un fichier ISO qui prétend être un jeu vidéo piraté, un film piraté ou bien une émission de télévision afin d’inciter les potentielles victimes à l’exécuter. Il prend ensuite la forme d’un module complémentaire de navigateur.
De nouveaux vecteurs d’attaque se développent, en essayant le plus possible de ne plus dépendre du système. En raison de sa position dominante sur le marché et de ses politiques d’extension assouplies, la nouvelle cible privilégiée est Chrome.
ChromeLoader est une extension de navigateur aux allures innocentes qui détourne les requêtes de recherche des utilisateurs et envoie du trafic vers un site publicitaire, comme le font d’ailleurs la plupart des extensions de navigateur suspectes. Connu familièrement sous le nom de “malvertising”, ChromeLoader se développe en tant que campagne, dans le cadre d’un modèle plus vaste et répandu, motivé financièrement. Les attaquants sont supposés faire partie d’un réseau marketing plus large d’affiliés et rediriger l’utilisateur vers des sites publicitaires. La différence entre ChromeLoader et les autres campagnes de malvertising, c’est qu’il s’injecte dans le navigateur et y ajoute une extension malveillante à l’aide de PowerShell, une technique très peu utilisée qui, par conséquent, n’est pas souvent détectée par la plupart des outils de sécurité. Néanmoins, il s’avère plus dérangeant qu’une menace avec un impact classique. En effet, ChromeLoader peut sembler être un hacker de navigateur inoffensif, mais son utilisation particulière de PowerShell pourrait causer des problèmes plus profonds, a déclaré Aedan Russell, expert en sécurité chez Red Canary.
Scénario d’attaque
Les opérateurs de malware utilisent un fichier archive ISO malveillant pour pénétrer dans le système, tout comme le précédent loader de malwares que nous avons traité récemment : Bumblebee. Ce constat montre l’utilisation croissante des loaders comme vecteur d’attaque, notamment ceux de type ISO. Ce fichier est annoncé comme un exécutable piraté pour un logiciel commercial ou un jeu vidéo, permettant ainsi aux victimes de le télécharger via des sites Web malveillants ou des torrents.
De plus, les acteurs malveillants diffusent également l’exécutable infecté via des messages Twitter, c’est d’ailleurs de cette manière que la première attaque a été découverte sur le terrain.
Le fichier est monté en tant que lecteur de CD-ROM virtuel lorsqu’un utilisateur double-clique dessus dans Windows 10 ou les systèmes précédents. Le composant principal de ce fichier ISO, CS Installer.exe, se fait alors passer pour une ‘keygen’ ou une copie piratée de jeu, mais en réalité il déclenche l’infection.
C’est là qu’il diffère de Bumblebee et c’est justement cette capacité qui rend ChromeLoader plus puissant au fur et à mesure de son développement.
ChromeLoader exécute/décode une commande PowerShell pour récupérer une archive à partir d’une ressource distante et l’installe en tant qu’extension Chrome sur le système. Ensuite, PowerShell supprime la tâche planifiée et infecte Chrome avec un plugin caché qui détourne et manipule les résultats du navigateur.
Les opérateurs ChromeLoader ciblent également les systèmes macOS pour modifier Safari et Chrome, selon les experts de Red Canary. Sur macOS, la chaîne d’infection est identique, mais au lieu de fichiers ISO, les attaquants utilisent des fichiers DMG (Apple Disk Image).
De plus, avec macOS, un script bash du programme d’installation (installer) est utilisé pour télécharger et décompresser l’extension du malware dans le répertoire private/var/tmp, plutôt que dans l’exécutable contenant le programme d’installation.
Flux d’attaque
Voici comment cette attaque fonctionne :
- Sur Twitter et d’autres plateformes sociales, de faux fichiers sont diffusés, généralement sous forme de versions « gratuites » piratées d’applications légitimes. Certains des ordinateurs infectés récupèrent le virus à partir de sites Web douteux et/ou de torrents.
- Certaines publications sur les réseaux sociaux utilisent des QR codes pour promouvoir des jeux Android prétendument piratés, conduisant les joueurs potentiels vers des sites Web suspects/de phishing.
- Le fichier ISO est monté en tant que CD-ROM virtuel en double-cliquant sur ce dernier. L’exécutable de l’ISO prétend alors être le contenu que la victime recherchait.
- Pour charger une extension Chrome à partir d’une ressource distante, ChromeLoader utilise une commande PowerShell. La tâche planifiée est ensuite supprimée par PowerShell et la victime ignore que son navigateur a été piraté. À ce stade, l’utilisateur se verra présenter de faux résultats de recherche auxquels il ne faudra pas se fier, et ce quelle que soit la page sur laquelle ils se trouvent.
- Cette attaque affecte également les utilisateurs de Mac OS X. Les attaquants utilisent des fichiers DMG (Apple Disk Image) au lieu de fichiers ISO, qui sont un format plus fréquent sur ce système d’exploitation.
Principes de base pour se protéger contre ChromeLoader
Se lancer dans la recherche de jeux et de logiciels piratés est plutôt dangereux, qu’il s’agisse d’une démarche dans un cadre privé ou bien au niveau d’une entreprise. De nombreux sites qui font la promotion de malwares déguisés en sites Web de piratage « légitimes » sont difficiles à détecter. Si vous téléchargez un torrent, vous pourriez aussi mettre en danger la sécurité de vos appareils. C’est donc une bonne idée d’ajouter des fichiers ISO à la liste d’éléments qui ne doivent pas être téléchargés au sein de votre entreprise.
Tout d’abord, parce que ChromeLoader est distribué sous forme de fichier ISO, et ensuite, parce qu’il est peu probable que vos employés aient besoin de gérer des fichiers ISO dans le cadre de leurs activités.
Par conséquent, c’est une bonne idée d’ajouter des fichiers ISO à votre liste d’éléments qui ne doivent pas être téléchargés.
Si un employé a besoin qu’un fichier ISO soit téléchargé à partir d’Internet, il devra contacter l’équipe IT pour prendre les dispositions nécessaires. Les employés seront moins susceptibles d’accéder aux fichiers ISO infectés si les sites torrent comme PirateBay sont bloqués, il est donc également recommandé d’inclure ces derniers dans les filtres.
Enfin, des modules complémentaires comme ChromeLoader utilisent la crédulité de l’internaute lambda.
Une extension Chrome est généralement une aide précieuse pour un individu classique, et pas élément à craindre. Les importants rabais sur les jeux vidéo et autres articles sont assez courants.
Pour vérifier séparément si une extension inconnue a été téléchargée et installée, on peut :
- Cliquez sur les trois points en haut à droite dans Chrome, puis sur Plus d’outils -> Extensions.
Vous pouvez vérifier les éléments installés, ceux qui sont actifs ou désactivés, et obtenir plus d’informations sur toutes les extensions installées à partir de cet endroit. La réinitialisation des paramètres du navigateur et d’autres méthodes de nettoyage sont également recommandées par Google.
Ce type d’attaque peut être évité en gardant votre logiciel de sécurité à jour et en lançant des analyses régulières. Avant d’utiliser un fichier téléchargé, vous devez toujours l’analyser. N’oubliez pas que les extensions malveillantes peuvent provenir de n’importe où, et pas seulement de sites Web douteux ou de téléchargements malveillants.
En raison des politiques plus souples de Chrome web store, des incidents ont eu lieu au niveau d’extensions malveillantes disponibles en téléchargement pour le grand public. Avant d’installer une nouvelle extension sur votre navigateur, vérifiez toujours les avis, les informations du développeur, les autorisations d’extension et toutes les informations qui vous semblent importantes.
ChromeLoader illustre bien la rapidité avec laquelle les attaques basées sur des loaders ont augmenté. Même si une entreprise a pris Bumblebee au sérieux et a mis en place tous les points de contrôle appropriés, le danger reste réel car les attaques ont muté à un rythme alarmant. Comme nous l’avons souligné précédemment, la plupart des solutions SIEM et XDR ne parviennent déjà plus à mener les analyses nécessaires au niveau de nombreuses sources de données. En fait, le vrai problème est qu’elles s’appuient sur des modèles d’apprentissage automatique basés sur des règles qui sont fixes et incapables de s’adapter aux différentes techniques et outils des acteurs malveillants. Cette capacité permet aux attaquants de diffuser facilement des charges virales malveillantes une fois qu’ils ont obtenu un premier accès au réseau, le plus souvent via une attaque de phishing.
Nous avons créé une liste structurée d’alertes qui peuvent être téléchargées via la page de téléchargement. Les équipes ‘Security Research and Global Services’ de Logpoint ont rédigé un rapport détaillant l’évolution de ChromeLoader et les méthodes utilisées par ce dernier, les meilleures pratiques en matière de sécurité et la manière de détecter, d’investiguer et de répondre à l’aide de Logpoint.