Une campagne sophistiquée, nommée « DeceptionAds », utilise de faux CAPTCHA et des commandes PowerShell pour diffuser le malware Lumma Stealer via des réseaux publicitaires légitimes.
Une vaste campagne publicitaire, surnommée « DeceptionAds » par les chercheurs de Guardio Labs et Infoblox, a été détectée. Celle-ci diffuse le malware Lumma Stealer, conçu pour voler des données sensibles telles que mots de passe, cookies, informations bancaires et portefeuilles de cryptomonnaies. Les attaquants, dirigés par un hacker connu sous le pseudonyme « Vane Viper », utilisent des réseaux publicitaires légitimes pour tromper les utilisateurs avec de faux CAPTCHA. Les victimes sont invitées à exécuter des commandes PowerShell malveillantes sous prétexte de prouver qu’elles ne sont pas des bots.
Cette campagne est une évolution des attaques « ClickFix », où les utilisateurs étaient piégés via des pages de phishing, des sites de logiciels piratés, et même des failles GitHub. Avec plus d’un million d’affichages publicitaires par jour, cette attaque souligne les risques croissants liés à l’exploitation des réseaux publicitaires. Découvrez les mécanismes de cette menace et comment vous protéger.
Un fonctionnement ingénieux et trompeur
Les cybercriminels derrière DeceptionAds ont mis en place une stratégie complexe exploitant les réseaux publicitaires pour diffuser leur malware :
Utilisation des réseaux publicitaires légitimes :
La campagne s’appuie sur Monetag, une plateforme de publicité populaire, pour afficher des annonces sur plus de 3 000 sites web, générant plus d’un million d’affichages quotidiens. Les publicités redirigent les utilisateurs vers des pages contenant de faux CAPTCHA, via le service de suivi publicitaire BeMob, souvent utilisé à des fins légales.
Mécanisme de redirection :
Les annonces proposent des offres attractives ou des téléchargements sur des sites de contenu piraté. Après un clic, un script vérifie si l’utilisateur est humain avant de le rediriger vers une page CAPTCHA falsifiée. Cette page contient du JavaScript qui copie discrètement une commande PowerShell malveillante dans le presse-papiers de la victime.
Manipulation des victimes :
Les utilisateurs sont invités à coller et exécuter la commande dans le menu Windows Run pour « résoudre le CAPTCHA ». Cette commande télécharge et installe le malware Lumma Stealer, qui commence immédiatement à collecter des données sensibles.
Exergue 1 : Plus d’un million d’affichages publicitaires quotidiens, générant des milliers d’infections potentielles.
Les impacts de Lumma Stealer : une menace multiforme
Le malware Lumma Stealer est conçu pour voler un large éventail de données sensibles :
Données personnelles et bancaires :
Les cookies, mots de passe, informations bancaires, historiques de navigation et portefeuilles de cryptomonnaies des victimes sont ciblés. Ces données sont ensuite revendues sur le dark web ou utilisées pour des fraudes financières.
Vol de documents sensibles :
Le logiciel collecte également des fichiers texte et PDF contenant des informations confidentielles, qui peuvent être exploitées dans des attaques ciblées ou vendues.
Propagation rapide :
En utilisant des réseaux publicitaires de confiance comme Monetag et des services légitimes comme BeMob, les attaquants ont pu diffuser leur malware à grande échelle. Malgré la fermeture de 200 comptes associés à cette campagne par Monetag et l’arrêt de BeMob en quatre jours, une nouvelle vague d’activité a été détectée le 11 décembre, montrant que les hackers s’adaptent rapidement.
Prévention et enseignements : comment éviter l’infection
Face à des campagnes comme DeceptionAds, quelques mesures peuvent réduire les risques :
Toute demande d’exécution de commandes PowerShell ou autres doit être traitée avec suspicion, surtout lorsqu’elle prétend résoudre un problème ou un CAPTCHA. Les sites de téléchargement illégal collaborent souvent avec des réseaux publicitaires peu sûrs, augmentant le risque d’exposition à des campagnes malveillantes. Les extensions de navigateur comme celles proposées par Guardio Labs peuvent détecter et bloquer les redirections suspectes.
Informer les internautes sur les techniques employées par les hackers, comme les faux CAPTCHA, est crucial pour réduire leur efficacité. Les campagnes de vol de données, comme celle-ci, montrent l’importance de la vigilance en ligne. Elles rappellent également aux entreprises de publicité l’obligation de renforcer leurs processus de modération pour éviter l’exploitation de leurs plateformes par des cybercriminels.
Cette campagne malveillante illustre une nouvelle ère dans l’exploitation des réseaux publicitaires légitimes pour diffuser des malwares. La vigilance des utilisateurs et des entreprises publicitaires est essentielle pour réduire l’impact de ces menaces. Pour suivre les dernières alertes en cybersécurité et obtenir des conseils de protection, abonnez-vous à notre newsletter.
