Une campagne de malvertising récente a utilisé une simulation de mise à jour de Windows dans le navigateur pour distribuer le malware Aurora. Aurora, écrit en Golang, est un voleur d’informations disponible sur les forums de hackers depuis plus d’un an, vantant ses capacités étendues et sa faible détection antivirus.
Selon Malwarebytes, cette opération de malvertising repose sur des popunder ads sur des sites pour adultes à fort trafic, redirigeant les utilisateurs vers des emplacements diffusant des malwares. Les popunder ads sont des publicités peu coûteuses qui s’ouvrent en arrière-plan, cachées jusqu’à ce que l’utilisateur ferme ou déplace la fenêtre principale du navigateur.
La campagne repérée par Malwarebytes a touché environ 30 000 utilisateurs, avec près de 600 qui ont téléchargé et installé le malware voleur de données sur leur système. Les attaquants ont utilisé une astuce astucieuse en simulant une fenêtre de mise à jour de Windows en plein écran.
Malwarebytes a identifié plus d’une douzaine de domaines utilisés dans cette campagne, souvent des imitations de sites pour adultes, affichant la fausse mise à jour de Windows. Les utilisateurs ont été incités à télécharger un fichier nommé « ChromeUpdate.exe », qui était en réalité un malware.
Ce malware est un chargeur appelé « Invalid Printer » écrit en Golang, prétendument « totalement indétectable ». Il vérifie si l’ordinateur fonctionne sur une machine virtuelle ou dans un environnement sandbox avant de lancer le voleur d’informations Aurora.
L’acteur de menace derrière cette campagne semble s’intéresser à la création d’outils difficiles à détecter, téléchargeant régulièrement de nouveaux échantillons sur Virus Total pour évaluer leur détection par les antivirus.
En plus de cette campagne, l’acteur de menace utilise également un panneau Amadey et cible les Ukrainiens avec des escroqueries de support technique.
Malwarebytes fournit une analyse technique détaillée du malware ainsi que des indicateurs de compromission pour aider à la protection des utilisateurs.