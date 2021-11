Le malware Insidious Infostealer piège les utilisateurs de Chrome et contourne le contrôle de compte d'utilisateur de Windows.



Si vous étiez un acteur de la menace, quel meilleur moyen d'introduire une charge utile sur l'appareil de quelqu'un que de passer par un programme que presque tout le monde a installé comme Google Chrome ? Malheureusement, cela semble être ce qui se passe avec le malware Infostealer, qui se fait passer pour une mise à jour légitime du populaire navigateur web de Google afin de pouvoir voler des données sensibles ou des crypto-monnaies sur une machine cible.







Récemment, l'équipe de Rapid7 Managed Detection and Response a détecté une campagne de malware qui installe sa charge utile en tant qu'"application Windows après livraison via un service publicitaire de navigateur et contourne le contrôle de compte utilisateur (UAC)". Une fois installé, ce malware, surnommé Infostealer, travaille pour prendre des informations sensibles telles que les informations d'identification stockées dans le navigateur ou la crypto-monnaie d'un appareil infecté. En outre, Infostealer empêche également les mises à jour du navigateur et permet l'exécution de commandes sur un appareil, ce qui permet une multitude d'autres problèmes de sécurité, notamment la persistance sur un appareil si Infostealer est finalement supprimé.







Quoi qu'il en soit, Infostealer s'introduit dans une machine par un processus en plusieurs étapes qui commence lorsqu'un utilisateur active les notifications dans le navigateur, ce qui serait déclenché par un fichier JavaScript compromis hébergé sur des sites Web à des fins publicitaires. Ce changement d'autorisation permet au site Web d'envoyer des "notifications de toast" à Windows, qui peuvent spammer les utilisateurs ou les informer de fausses mises à jour de logiciels malveillants. C'est cette dernière option qui a été utilisée par la campagne de logiciels malveillants, faisant croire aux utilisateurs qu'ils disposaient d'une mise à jour de Chrome et les envoyant vers un site Web de mise à jour d'apparence réaliste.







Une fois sur ce site, il suffisait à l'utilisateur de cliquer sur le bouton d'installation, et une application Windows contenant le malware se téléchargeait et pouvait être installée. La seule chose qui peut attirer l'attention dans ce processus est le nom du fichier de l'application et la nécessité d'activer le paramètre "Sideload apps", car ce programme ne provient pas du Microsoft Store. Sinon, ce logiciel serait installé et exécuté, permettant au malware de lancer son processus malveillant.







Heureusement, il semble que le malware ne soit plus diffusé aux endroits découverts, mais cela ne signifie pas qu'il a nécessairement disparu. Pour se protéger contre ces logiciels malveillants, les gens doivent être très attentifs aux liens sur lesquels ils cliquent et aux fichiers qu'ils téléchargent. En outre, les programmes qui demandent des autorisations supplémentaires par rapport aux autorisations par défaut constituent généralement un signal d'alarme, à moins que vous ne sachiez précisément ce qui se passe. Avec ces précautions, on peut espérer que Infostealer deviendra moins efficace et moins répandu.



HOTHARDWARE