Étude des menaces

COVID-19 : une campagne de publicité malveillante vise les utilisateurs d'Internet Explorer

Threat Intelligence Team, 16 avril 2020

Le kit d'exploit Fallout utilisé pour distribuer Kpot v2.0 aux personnes utilise des versions obsolètes d'Internet Explorer

Les cybercriminels profitent de la crise du COVID-19 pour profiter de la malheureuse situation. Nous avons récemment découvert que les cybercriminels ajustaient leurs campagnes pour adapter leurs publicités malveillantes, les rendant adaptées à la crise du COVID-19. Ils achètent de l'espace publicitaire à partir d'un réseau pour afficher des publicités malveillantes sur des sites Web. Ils utilisent maintenant des noms de sites Web qui semblent héberger des informations liées au coronavirus et donnent ainsi aux opérateurs de réseaux publicitaires l'impression qu'ils ne sont pas malveillants. Cette campagne de malvertising particulière héberge un kit d'exploit appelé Fallout, qui tente d'exploiter les vulnérabilités dans les anciennes versions d'Internet Explorer, sans action requise de la part de l'utilisateur ou sans que rien ne se passe, afin d'installer Kpot v2.0, un voleur d'informations et de mots de passe. 

Le kit d'exploit Fallout existe depuis 2018 et a, pour la plupart, ciblé les utilisateurs japonais et sud-coréens. Le 26 mars 2020, les cyber-escrocs derrière cette campagne ont enregistré le domaine covid19onlineinfo [.] Com, et ont depuis fait pivoter les domaines sur lesquels le kit d'exploit est hébergé, enregistrant environ six domaines par jour afin d'échapper aux détections antivirus. 

La publicité malveillante est généralement hébergée sur des sites de streaming et s'ouvre généralement automatiquement dans un nouvel onglet lorsque l'utilisateur clique sur le bouton de lecture pour visualiser une vidéo. Lorsqu'un utilisateur victime de Fallout EK visite un site hébergeant la publicité malveillante et répond aux critères d'utilisation d'une version obsolète d'Internet Explorer, le kit d'exploitation tente d'accéder à l'ordinateur de l'utilisateur. Il essaie d'exploiter une vulnérabilité dans Adobe Flash Player (CVE-2018-15982, correctif publié en janvier 2019), qui peut conduire à l'exécution de code arbitraire et à une vulnérabilité d'exécution à distance dans le moteur VBScript affectant plusieurs versions de Windows (CVE-2018-8174 , correctif publié en mai 2018). Cela peut entraîner le blocage d'Internet Explorer, qui est la seule alarme que l'utilisateur peut remarquer.

Le kit d'exploitation a déjà infecté des ordinateurs avec divers voleurs de mots de passe et informations et chevaux de Troie bancaires. Le voleur tente de voler des informations de base, telles que le nom de l'ordinateur, le nom d'utilisateur Windows, l'adresse IP, les logiciels installés sur l'appareil, le GUID de la machine, etc., en envoyant ces informations à un serveur de commande et de contrôle. 

Ensuite, le logiciel malveillant continue de voler des mots de passe et d'autres fichiers. Selon d'autres chercheurs de Proofpoint qui ont analysé le malware Kpot, les commandes suivantes peuvent être envoyées par le serveur de commande et de contrôle au malware :

  • Voler des cookies, des mots de passe et des données de saisie automatique dans Chrome
  • Voler les cookies, les mots de passe et les données de remplissage automatique de Firefox
  • Voler des cookies d'Internet Explorer
  • Voler divers fichiers de crypto-monnaie
  • Voler des comptes Skype
  • Voler des comptes Telegram
  • Voler des comptes Discord
  • Voler des comptes Battle.net
  • Voler des mots de passe Internet Explorer
  • Voler des comptes Steam
  • Prendre une capture d'écran
  • Voler divers comptes clients FTP
  • Voler diverses informations d'identification Windows
  • Voler divers comptes clients Jabber
  • S'auto-supprimer

Au 14 avril 2020, Avast a empêché 178 814 tentatives d'attaque ciblant 96 278 utilisateurs dans le monde. Vous trouverez ci-dessous un tableau des principaux pays ciblés.

Pays

Tentatives d'attaque bloquées

Nombre d'utilisateurs ciblés 

Canada

37,342

12 496

Etats-Unis

30 001

13 930

Japon

17 306

8,438

Espagne

15,484

9 609

Italie

10 494

6 648

Australie

6 222

2 780

Brésil

5 833

4,051

France

5 813

4,183

Turquie

3 900

2 568

Allemagne

3,331

2 452

Comment vous protéger :

  • Les utilisateurs devraient avoir un logiciel antivirus d'installé, qui agira comme un filet de sécurité, détectant et empêchant les attaques malveillantes comme celle-ci.
  • Gardez toujours vos logiciels, navigateurs et systèmes d'exploitation à jour. Les mises à jour sont importantes car elles fournissent non seulement de nouvelles fonctionnalités, mais peuvent inclure des correctifs de sécurité pour corriger les vulnérabilités qui pourraient être utilisées abusivement.  
  • Désactivez Flash, sauf si vous savez que vous en avez besoin. Flash n'est plus beaucoup utilisé par de nombreux sites Web, mais les cybercriminels continuent d'abuser des vulnérabilités de Flash 
  • Activez la nouvelle fonctionnalité de protection par mot de passe d'Avast, qui se trouve dans la section confidentialité d'Avast Premium. Avast Password Protection vous avertit si un programme tente d'accéder à des mots de passe enregistrés dans Google Chrome ou Firefox. 


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.