Des vidéos YouTube utilisées pour distribuer le malware Aurora
Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui s'appuie sur des vidéos YouTube pour diffuser des liens malveillants menant au malware Aurora, dans le but de voler des informations sur la machine infectée. Faisons le point.
Ce n'est que depuis la fin de l'année 2022 que l'on entend parler du malware Aurora. Codé en Go, l'objectif de ce logiciel malveillant est de voler des informations sur votre machine, notamment les identifiants enregistrés dans les navigateurs, dans le système, mais aussi le contenu d'un portefeuille de cryptomonnaie. Dans le même esprit que la menace RedLine.
L'entreprise de cybersécurité Morphisec a mis en ligne un rapport au sujet d'un nouveau loader nommé "in2al5d p3in4er" qu'il faut lire "invalid printer", dont l'objectif est de déployer le malware Aurora. Pour tenter de piéger des utilisateurs, les cybercriminels utilisent :
- Des vidéos YouTube
- Des sites web pour faire la promotion de logiciels crackés
Si l'on s'intéresse à la partie YouTube, on constate que si l'utilisateur clique sur un lien présent dans la description de la vidéo, il est redirigé vers un site malveillant où il est invité à télécharger un utilitaire (comme le promet la vidéo) sauf qu'il s'agit en fait du loader pour Aurora.
Les pirates s'appuient sur plusieurs chaînes YouTube pour distribuer les vidéos malveillants, notamment la chaine ci-dessous qui a été compromise. On peut voir une vidéo récente pour obtenir "Adobe Audition" ou "Adobe Animate" en version crackée. On voit aussi qu'il y a déjà eu plusieurs centaines de vues en quelques heures.
Il y a un réel effort fait sur les vidéos : vignettes de qualité et utilisation d'une IA pour générer les vidéos.
Il est à noter que l'exécutable malveillant (loader) a été compilé avec l'application Embarcadero RAD Studio, ce qui lui permettrait d'être plus difficilement détectable, avec une capacité à échapper aux bacs à sable et aux machines virtuelles.. À ce sujet, voici les précisions de l'entreprise Morphisec : "Ceux qui ont le taux de détection le plus bas sur VirusTotal sont compilés à l'aide de 'BCC64.exe', un nouveau compilateur C++ d'Embarcadero basé sur Clang".
Une nouvelle fois, la thématique des "logiciels crackés" est utilisée par les pirates informatiques. Un utilisateur qui cherchera à obtenir une version crackée d'un logiciel, pourra tomber sur une vidéo YouTube ou un site web malveillant, et finir par télécharger et exécuter le malware !
Comme le montre l'image ci-dessous, issue du rapport de Morphisec, des logiciels populaires sont utilisés comme leurre.
