Adrozek est une série d’attaques « Drive By Download ». Bien organisée, elle utilise ce que Microsoft appelle une « infrastructure massive » pour distribuer furtivement des logiciels malveillants aux navigateurs web, notamment Chrome, Edge et Firefox. Attention danger !

Le « Drive By Download » peut ajouter des extensions malveillantes, injecter des publicités malveillantes dans les résultats de recherche et même voler des identifiants dans certains cas. C’est pourquoi, selon Microsoft, les utilisateurs qui se retrouveront pris au piège devront réinstaller leurs navigateurs.

Dans un article de l’équipe de recherche de Microsoft 365 Defender, la vague d’attaques malveillantes persistantes appelée Adrozek est expliquée en détail. Il n’est pas facile à lire, non pas en raison du niveau technique du rapport, mais du fait de la nature sophistiquée et persistante de ces attaques.

Une campagne de lutte contre les attaques « Drive By Downlad ».

En l’espace de cinq mois, les chercheurs ont suivi un total de 159 domaines uniques utilisés par les hackers pour distribuer des centaines de milliers de logiciels malveillants. Chacun est unique grâce à la nature polymorphe du « Drive By Download ». Pour vous donner une idée de l’ampleur de cette vague d’attaques, on a découvert qu’un domaine hébergeait 250 000 URL uniques, alors qu’un autre en hébergeait 100 000 !

Cette infrastructure de distribution n’est pas seulement massive, elle est aussi dynamique. Alors que certains domaines ont disparu au bout de 24h d’activité, d’autres sont restés actifs jusqu’à quatre mois. Les domaines les plus persistants distribuaient des fichiers légitimes dans une tentative apparente de renforcer leur réputation et d’échapper à la détection. Le malware lui-même se présente comme un service Windows légitime une fois que le fichier infecté a été déposé dans le répertoire de programmes Windows.

 

Les dangers vont au-delà de la publicité malveillante 

Dans une certaine mesure, l’activité d’Adrozek dépend des navigateurs déjà installés. La principale charge semble être l’ajout d’extensions de navigateur et la modification des bibliothèques de liens dynamiques (DLL) qui permettent l’insertion de publicités malveillantes dans les pages web, y compris dans les résultats des moteurs de recherche. Adrozek insère ces publicités par-dessus les publicités légitimes et, si les utilisateurs cliquent dessus, elles génèrent des revenus par le biais de programmes d’affiliation.

Toutefois, le malware ne se contente pas d’installer des publicités malveillantes, il est plus grave que la plupart des attaques de ce type. Dans le navigateur Edge, par exemple, une DLL est modifiée pour empêcher les contrôles de sécurité de fonctionner correctement. Elle empêche également les navigateurs d’être mis à jour à la dernière version et, dans certains cas, peut tenter de voler les identifiants de connexion des utilisateurs.

 

Microsoft conseille de réinstaller les navigateurs infectés 

Les chercheurs affirment que Microsoft Defender Antivirus, la solution intégrée de protection des terminaux sous Windows 10, se base sur le comportement et l’apprentissage machine pour bloquer Adrozek. Ils affirment également que les utilisateurs dont les navigateurs seraient infectés par cette menace devraient les réinstaller afin de s’en débarrasser.

Bien sûr, mieux vaut prévenir que guérir. C’est pourquoi il ne faut pas télécharger de logiciels provenant de sources non fiables, ni cliquer sur des liens vers des sites web suspects.

 

Les experts en sécurité conseillent la prudence 

Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré : « Microsoft n’a pas précisé quelles interactions étaient nécessaires pour que les attaques Adrozek se produisent, il est donc difficile de donner des conseils pratiques sur la façon de les prévenir. Microsoft a mentionné que les attaques se produisaient par le biais de “Drive By Downloads”, ce qui n’est pas très précis ». « Beaucoup de téléchargements « Drive By » se produisent par le biais de scripts malveillants », a poursuivi M. Bischoff, « donc une extension de blocage de script comme NoScript pourrait aider à protéger votre navigateur ».

Jake Moore, spécialiste de la cybersécurité à l’ESET, a déclaré : « Le détournement des résultats de recherche peut sembler inoffensif, mais ce type de logiciel malveillant finance la cybercriminalité et les futures attaques généralisées. Les cybercriminels évoluent rapidement grâce à de nouvelles méthodes innovantes pour financer leurs moyens de subsistance, et c’est le genre de logiciels malveillants qui se trouvent généralement derrière les attaques à grande échelle ».

Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, a quant à lui déclaré : « C’est un excellent exemple de l’avancée technique des attaques informatiques. Des vagues comme celle-ci se déroulent discrètement en arrière-plan, générant des revenus en redirigeant les résultats des recherches ». M. Kron a également souligné que « l’ajout du vol d’identifiants dans le navigateur Firefox est un outil précieux qui réussit parce que les gens réutilisent souvent le même mot de passe pour des comptes différents ».

Enfin, Chris Hauk, champion de la protection de la vie privée des consommateurs chez Pixel Privacy,  a déclaré : « Je n’insisterai jamais assez auprès des utilisateurs pour qu’ils n’installent jamais une application ou une extension simplement parce qu’un site web les informe que leur appareil a besoin d’une mise à jour de Flash Player ou d’une autre application, extension ou plug-in ».

 

Article traduit de Forbes US – Auteur : Davey Winder

<<< À lire également : Des Hackers Ont Attaqué Les Entreprises Qui Assurent La Sécurité Des Vaccins Contre La Covid-19 >>>