Une campagne de publicités malveillantes est actuellement en cours sur Google. Les pirates parviennent à diffuser un malware voleur de données qui échappe quasiment à chaque fois à la vigilance des antivirus. Pour ce faire, ils exploitent la technologie de virtualisation KoiVM.
Les malwares passent par de multiples canaux. Et certains sont pour le moins inattendus. Lorsque vous utilisez Google, vous avez forcément repéré la section publicités mise en exergue dans les premiers résultats de recherche. Comme le révèle SentinelLabs, une campagne de diffusion de logiciels malveillants est actuellement en cours dans Google Ads. Celle-est particulièrement insidieuse puisqu’elle exploite la technologie de virtualisation KoiVM pour se rendre indétectable par les suites de sécurité.
“Les frameworks de virtualisation tels que KoiVM obscurcissent les exécutables en remplaçant le code d’origine par du code virtualisé que seul le framework de virtualisation comprend”, explique le rapport. Pour faire simple, les pirates créent un code qui ne peut être compris que par des machines virtuelles. Si les victimes exécutent le malware, la machine virtuelle peut transformer le code en son code d’origine et exécuter la charge malveillante.
À lire > Android : attention, ce nouveau malware prend le contrôle de votre smartphone à distance
Comment des malwares déjouent la vigilance de Google et des antivirus ?
Dans la campagne en cours, les pirates déploient Formbook, un malware voleurs de données, dans des publicités pour le logiciel Blender 3D. De nombreuses fonctionnalités sont à l’oeuvre pour éviter la détection. Modification des processus en cours d’exécution, couche d’obscurcissement supplémentaires… Les chargeurs peuvent également détecter s’ils s’exécutent dans un environnement virtualisé en interrogeant des clés de registre spécifiques. Le cas échéant, l’exécution s’arrête pour échapper à l’analyse.
En plus de tout cela, Formbook mélange son trafic réel avec diverses requêtes HTTP “écran de fumée” dont le contenu est crypté et codé. Le logiciel malveillant communique avec ces adresses IP de manière aléatoire, en les sélectionnant dans une liste codée en dur avec des domaines hébergés par diverses sociétés. Un moyen de camoufler son véritable trafic.
Au cours du mois dernier, les chercheurs ont constaté une utilisation accrue des annonces Google pour déployer des logiciels malveillants. On peut notamment citer Vida, RedLine Stealer, Gozi/Ursnif, IcedID, Rhadamanthys stealer, ou encore Raccoon Stealer.
Source : SentinelLabs
