Exemple d’un adware simple mais efficace

Dans la série simple mais efficace, voici un exemple d’un adware pioché lors d’une désinfection.
Très souvent, pour échapper aux détections d’antivirus, on image des pirates avec des attaques sophistiquées.
Cela existe, on nomme d’ailleurs ces menaces des APT pour Advanced Persistent Threat.
Il s’agit d’attaques informatiques répétées et techniques contre des entreprises ou agences gouvernementales.

Dans cet article, nous allons voir un adware très simple qui parvient à passer sous les radars et infecter des ordinateurs.
Le but est de montrer que l’on a pas forcément besoin de grosse connaissance technique pour se faire.

Rappelons qu’un adware est un logiciel publicitaire.
Le but du cybercriminel est de se servir de l’ordinateur de la victime pour charger des publicités.
Ces publicités vont pouvoir faire gagner de l’argent au concepteur de l’adware.

Les pubs sonores

Dans cet exemple, la victime se plaint de pub sonore.
Lors de l’utilisation de l’ordinateur, lorsque celle-ci travaille avec, elle entend des voix et son.
Cela provient du fait que l’adware charge des pubs invisibles qui sont parfois sonores.

Pour résumer, l’adware tourne en arrière plan et se connecte en tout discréation sur des pages qui servent les publicités.

Pub sonore et présence d'un adware
Pub sonore et présence d’un adware

Je lui ai fait utiliser FRST afin de vérifier son système.
Il en ressort une clé Run malveillante.
Pour ceux qui ne comprennent pas à quoi correspondent ces lignes 04, voici quelques explications :

Il s’agit de la liste des entrées des applications qui se chargent au démarrage de Windows, après avoir saisi votre mot de passe.
Parmi ces lignes, on distingue cette entrée malveillante

HKU\S-1-5-21-1883268691-2438642877-3707191222-1001\...\Run: [HD Audio Background] => C:\Users\Nicolas\AppData\Roaming\catch\Audio.vbs [180 2018-10-25] ()

Audio.vbs est un script Microsoft Visual Basic Scripting Edition qui a été placé là lors de l’infection initiale.
Ce script se charge donc au démarrage de l’ordinateur.

Clé Run 04 qui charge le malware au démarrage de Windows
Clé Run 04 qui charge le malware au démarrage de Windows

Fonctionnement de l’Adware

Voici le contenu du script.
En clair ce dernier charge une URL distante http://areablank.com/hit.vbs qui s’avère être donc un second script VBS.
Rien d’extraordinaire.

Le script VBS charge une URL distante
Le script VBS charge une URL distante

Jetons maintenant un coup d’oeil au contenu de hit.vbs.
Ce dernier à son tour va se connecter à deux URLs, une adresse bit.ly et pastebin.
La première sert seulement à des fins statistiques afin de pouvoir suivre le nombre de connexions et machines infectées.
La seconde charge un contenu.

Autre script VBS qui se connectent à deux URLs
Autre script VBS qui se connectent à deux URLs

En effet, pastebin a pour but de charger l’URL finale qui contient les publicités.
Pour se faire, le cybercriminel y a simplement créer une page avec le code.
On peut constater que le script utilise Internet Explorer pour cela.
Une boucle est créé pour fermer et relancer Internet Explorer à intervalles réguliers sur cette adresse de pubs.

L’ordinateur va donc régulièrement se reconnecter pour charger la publicité et le créateur de cet adware va lui gagner de l’argent.

Le code qui charge Internet Explorer pour charger les publicités
Le code qui charge Internet Explorer pour charger les publicités

Du point de vue de l’utilisateur, cela est invisible.
Le processus wscript.exe charge les scripts qui va de temps en temps lancer le processus iexplore.exe pour charger la publicité.

Le seul moyen de se rendre compte que l’ordinateur est infecté est :

  • Une alerte antivirus
  • Les pubs sonores
  • Une popup Internet Explorer de confirmation, erreur ou autres qui s’ouvrent
  • se rendre compte que wscript.exe est en cours d’exécution ce qui est en général anormale mais cela demande des connaissances.
wscript.exe qui tourne en arrière plan
wscript.exe qui tourne en arrière plan

Par exemple, ci-dessous, la publicité a chargé une arnaque de support téléphonique qui génère une popup.

Soit l’utilisateur tombe dans le panneau, soit il se rend compte que quelque chose d’anormal se passe et peut donc penser à la présence d’un malware.

Une popup d'arnaque de support téléphonique
Une popup d’arnaque de support téléphonique

Pourquoi les antivirus sont à la rue

Ce qui fait la force de cet adware est qu’il est tellement simple, qu’il est difficile de le considérer comme étant véritablement un malware.

Par exemple, un trojan est facilement « reconnaissable » et à des caractéristiques communes :

  • Il va chercher à être résident et à se charger au démarrage de Windows en créant par exemple une clé Run 04.
  • Il va se connecter à une URL distante, souvent non sécurisée
  • Possiblement des fonctions de keylogger ou contrôle à distante de l’ordinateur
  • L’utilisation de packer et autres tentatives pour cacher le code malveillant
  • Aucun signature numérique

Toutes ces combinaisons peuvent trahir la présence d’une menace et les antivirus peuvent émettre des alertes sur une de ces conditions.

Ici rien de tout cela, les scripts ne font que des requêtes sur le WEB.
Si le script contenait du code pour créer la clé Run, certains antivirus auraient pu émettre des détections heuristiques.

Ci-dessous, Avast! en cours d’exécution qui ne bronche pas.

Si l’on regarde plus haut, la capture du processus wscript, Windows Defender est aussi en cours d’exécution et ne réagit pas.

L'adware tourne et Avast! ne voit rien
L’adware tourne et Avast! ne voit rien

Ici la meilleur méthode est d’ajouter l’adresse WEB du premier script VBS téléchargé ou éventuellement le script VBS initial (audio.vbs).
Ainsi, lors de l’exécution du script, l’antivirus peut émettre une alerte.
A ce jour, seul Malwarebytes détecte ce dernier comme malveillant d’après ce scan VirusTotal.

Détection de l'URL malveillante sur VirusTotal
Détection de l’URL malveillante sur VirusTotal

Toutefois une analyse de l’ordinateur ne détecte rien de malveillant et AdwCleaner passe lui aussi à côté.

AdwCleaner et MBAM ne détecte pas l'adware
AdwCleaner et MBAM ne détecte pas l’adware

Les statistiques bitly sont d’ailleurs disponibles publiquement.
On peut voir que l’adware a une cadence de ~4000 hits par jour, ce qui n’est pas négligeable.
Il est fort probable qu’au final les antivirus réagissent mais pendant ce laps de temps, l’auteur aura fait le plein avant de mettre en ligne une variante qui passera à nouveau inaperçu.

Les statistiques de l'adware
Les statistiques de l’adware

Se protéger de ce type d’adware

Du côté de l’utilisateur, une autre solution de protection est possible contre ce type de menace.
Il faut interdire l’exécution de script VBS.

Ces derniers sont très utilisés pour charger du contenu malveillant et même parfois par les infections elles-mêmes comme les virus USB.

Si vous suivez le site, on en parle depuis fin 2015 et comment s’en protéger.
Pour se faire suivre la page : Comment se protéger des scripts malicieux sur Windows

Conclusion

J’espère que vous aurez compris la logique de cet adware et comment la force de ce dernier réside dans sa simplicité qui lui permet de passer sous les radars des antivirus.

(Visité 532 fois, 1 visites ce jour)