malware attack

Près d’un million de PC d’entreprise et d’accueil compromis après que les utilisateurs ont visité des sites de streaming illégaux: Microsoft

Lucas Morel

Le rapport suggère de l’importance pour les CISO de renforcer la formation de sensibilisation à la sécurité aux employés.

Le surf en ligne négligent par les employés continue d’être le fléau des CISOS essayant de garder les logiciels malveillants sur leurs réseaux informatiques. Le dernier exemple de ses conséquences vient de Microsoft, qui rapporte qu’au début de décembre, il a détecté une campagne de vol de données à grande échelle qui a exploité Github, Discord et Dropbox pour distribuer des logiciels malveillants à près d’un million d’appareils.

La cause initiale probable: les personnes cliquant sur des annonces malveillantes publiées sur les sites Web en streaming hébergeant des vidéos piratées.

Et bien qu’il puisse sembler que les utilisateurs ordinaires seraient les victimes, Microsoft rapporte que la campagne a également eu un large éventail d’organisations et d’industries, y compris les appareils grand public et d’entreprise.

Le rapport montre non seulement que des plates-formes comme Github, Discord et Dropbox doivent resserrer leur sécurité, disent que les experts, mais aussi que, dans le cadre de la formation à la sensibilisation à la sécurité, les CISO doivent rappeler régulièrement les employés des risques, à la fois lorsqu’ils sont au travail et à la maison, d’aller sur des sites Web qui promettent des cadeaux.

« La diffusion malveillante par la publicité malveillante et le github sont impliqués, n’ont rien de nouveau », a déclaré Roger Grimes, évangéliste de défense basé sur les données pour le fournisseur de formation de sensibilisation KnowBe4. «Aujourd’hui, c’est presque comme d’habitude. Toute formation en cybersécurité devrait inclure une éducation sur la façon dont les moteurs de recherche sur Internet et la publicité peuvent vous conduire à de mauvais endroits. Les gens doivent connaître cette réalité. Cela a toujours été ainsi, mais c’est pire que jamais. »

Il a noté que, même lorsqu’une victime potentielle est conduite à un mauvais site, l’utilisateur doit prendre des mesures et ignorer souvent plusieurs avertissements de sécurité, pour exécuter le malware.

« Le malware ne se lance pas seulement sur l’appareil de la personne et commence à faire de mauvaises choses, à moins qu’ils ne soient non corrigés », a-t-il déclaré. «Habituellement, l’utilisateur doit autoriser manuellement et activement à permettre au contenu malveillant de s’exécuter (par rapport à l’affichage d’une page Web). Ainsi, les utilisateurs doivent être informés qu’il existe une publicité malveillante, et que s’ils ne permettent pas manuellement le contenu à s’exécuter, ils seront généralement à l’abri. »

Pour les CISO, le rapport montre à quel point il est important de gérer un bloqueur d’annonces ainsi que d’autres défenses, a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS, et ce n’est pas seulement au cas où les employés ignoreront la politique de l’entreprise pour rester à l’écart des sites Web non approuvés. « Malheureusement », a-t-il déclaré dans un e-mail, « les publicités malveillantes apparaissent toujours sur des sites légitimes aussi. »

Les campagnes ont plusieurs étapes

Dans cette campagne, la majorité de la distribution de logiciels malveillants est passée par Github, et Microsoft, qui possède Github, a émoussé la campagne en éliminant les référentiels infectés. Mais Github n’est pas le seul site à être maltraité de cette manière; Ullrich a déclaré que c’était un problème «difficile» pour tous les sites d’hébergement de fichiers.

«La charge utile initiale était un simple« compte-gouttes ». «Les gouttes» sont un logiciel très simple qui télécharge, décode et exécute du code », a-t-il noté. «Ils ne sont pas intrinsèquement malveillants et sont difficiles à identifier avant d’être utilisés à des fins malveillantes. Peut-être que nous entendons plus parler de GitHub par rapport aux autres sites d’hébergement de fichiers parce que Microsoft est plus proactif et public pour fermer ces référentiels. »

Les chercheurs en sécurité ont rendu compte de l’utilisation par les acteurs de la menace de GitHub en particulier pour la propagation de logiciels malveillants, en partie parce qu’il s’agit d’un emplacement fiable par les développeurs d’applications pour saisir le code open source.

Dans l’un des rapports les plus récents, le mois dernier, Kaspersky a déclaré qu’il avait trouvé une campagne d’acteurs de menace inconnus pour créer plus de 200 référentiels GitHub («REPOS») contenant de faux projets offrant un code malveillant, y compris des bots télégrammes, des outils pour pirater le vaillorant du jeu, les utilitaires d’automatisation Instagram et les gestionnaires de Bitcoin Wallet.

Cette campagne dure depuis au moins deux ans, a déclaré Kaspersky.

Et il y a un peu plus d’un an, les chercheurs d’Apiiro ont déclaré avoir trouvé plus de 100 000 référentiels de code GitHub utilisant la faute de frappe de la faute de frappe (donnant des noms de noms similaires à ceux légitimes) aux références légitimes de l’APE, ou en clonant simplement un repo existant.

Ces exemples montrent un autre élément de formation de sensibilisation à la sécurité: s’assurer que les développeurs comprennent la nécessité de vérifier la légitimité d’un dépôt avant de télécharger du code destiné à une application d’entreprise.

Le récent rapport de Microsoft Malvertising a indiqué que les sites Web de streaming illégaux infectés ont intégré des redirecteurs malvertisants dans les trames de films pour générer des revenus de paiement par vue ou de paiement par clic pour l’acteur ou les acteurs de la menace. Mais une partie du régime impliquait des victimes à plusieurs reprises à plusieurs reprises aux référentiels de GitHub malveillants pour l’installation de charges utiles de première étape.

À la mi-janvier 2025, les charges utiles de première étape découvertes ont été signées numériquement avec un certificat nouvellement créé, a déclaré Microsoft. Un total de douze certificats différents ont été identifiés, qui ont tous été révoqués.

Les fichiers de deuxième étape ont ensuite été utilisés pour découvrir ce qui se trouvait sur les PC de la victime et pour exfiltrer les informations du système. Le malware peut avoir inclus Lumma Stealer et Doenerrium. Diverses charges utiles de troisième étape ont été déployées, en fonction de la charge utile de deuxième étape, pour télécharger des fichiers supplémentaires et voler des données.

Selon la charge utile initiale, NetSupport, un programme de surveillance et de gestion à distance (RMM), a également été souvent déployé aux côtés de l’infostaler. Outre les voleurs d’informations, les scripts PowerShell, JavaScript, VBScript et AutOIT ont été exécutés sur l’hôte. Les acteurs de la menace ont incorporé l’utilisation des binaires et scripts de vie (lolbas) tels que, et pour se connecter aux serveurs de commande et de contrôle (C2) et pour l’exfiltration de données des données utilisateur et des informations d’identification du navigateur.

Les recommandations défensives de Microsoft comprennent le renforcement de la détection des points de terminaison, en particulier pour bloquer les artefacts malveillants, et nécessitant l’utilisation de l’authentification multifactorielle pour les connexions.

La formation à la sensibilisation à la sécurité est critique

Pour être efficace, tout programme de sensibilisation à la sécurité et de formation doit reconnaître et être adapté pour refléter la façon dont les gens travaillent vraiment avec la sécurité dans une organisation, dans le cadre de la création d’une culture de sécurité positive, explique le National Cybersecurity Center britannique.

Il existe des ressources gratuites pour aider les organisations à créer un programme d’apprentissage de cybersécurité et de confidentialité. Par exemple, les dernières directives du National Institute for Standards and Technology (NIST) sur le sujet sont un aperçu de 87 pages qui note qu’un plan a besoin de mesures de réussite telles que la capacité des employés à reconnaître et à signaler les événements potentiels de cybersécurité et le changement de comportement des employés et les commentaires tout au long de l’année.

«Les activités d’apprentissage de la cybersécurité et de la sensibilisation devraient être menées sur une base continue tout au long de l’année», dit en partie, «pour s’assurer que les employés sont conscients de leurs rôles au sein de l’organisation et des mesures appropriées qu’ils doivent prendre pour protéger les informations, les actifs et la confidentialité des individus».

Des exemples d’activités de sensibilisation qui conviennent à tous les utilisateurs comprennent:

  • Messages sur les écrans de connexion, épargnants d’écran organisationnels et blocs de signature par e-mail;
  • Newsletters des employés avec des articles de cybersécurité et de confidentialité;
  • affiches (physique ou numérique) avec des conseils de cybersécurité et de confidentialité;
  • Un Mois de sensibilisation à la cybersécurité (octobre) ou la Foire des activités de la Semaine de sensibilisation aux données (janvier);
  • Rappels de cybersécurité et de confidentialité et conseils sur le matériel des employés (par exemple, stylos, blocs-notes, etc.);
  • Les e-mails périodiques ou nécessaires qui fournissent des conseils en temps opportun ou sont envoyés en réponse à un événement ou un problème de cybersécurité ou de confidentialité.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

1887170134 attack surface programming abstract
Des packages NPM malveillants ont été trouvés pour créer une porte dérobée dans le code légitime
Les développeurs innovent le casino de New Virginia
Les développeurs innovent le casino de New Virginia
Trotz Hinweise: Oracle Demetier Cyberattacke
Trotz Hinweise: Oracle Demetier Cyberattacke