Un nouveau malware, FakeBat Loader, se propage par le biais d’un téléchargement furtif

Le téléchargement furtif est une technique bien établie que les cybercriminels utilisent pour installer des malwares sur l’ordinateur d’une victime. Et au cours du premier semestre 2024, ce mode d’attaque a été utilisé à de nombreuses reprises pour installer le malware FakeBat Loader. 

Aujourd’hui, je vais vous donner une vue d’ensemble du fonctionnement du téléchargement furtif, puis nous aborderons plus en détail le malware FakeBat Loader et ce qu’il révèle sur l’état actuel de l’économie de la cybercriminalité. Nous terminerons par une discussion sur la meilleure façon de lutter contre ce type d’attaque.

Le téléchargement furtif 

Le téléchargement furtif consiste essentiellement à inciter les internautes à télécharger un code malveillant sur un site Web. Cela peut se faire de différentes manières. Voici quelques-unes des techniques les plus courantes :

• L’empoisonnement SEO est une technique qui consiste à manipuler les pratiques d’optimisation pour les moteurs de recherche dans le but d’améliorer le classement d’un site Web fictif ou malveillant afin qu’il semble authentique et sans risque. Ainsi, une recherche sur le téléchargement d’un logiciel particulier peut vous mener vers une page malveillante conçue pour imiter le site authentique. Lorsque vous cliquez pour télécharger le logiciel que vous recherchez, vous introduisez un malware dans votre système.  

• La compromission et l’injection de code permettent d’atteindre le même objectif en attaquant et en compromettant un site Web légitime. Les criminels injectent ensuite un code malveillant dans le code du site Web, de sorte qu’en visitant le site ou en cliquant sur ce qui semble être un lien légitime, vous téléchargez automatiquement le malware sur votre système. 

• La publicité malveillante est une technique très courante utilisée par les criminels, qui placent de fausses publicités sur des sites Web légitimes en comptant sur la complexité de l’écosystème publicitaire en ligne pour rendre la détection improbable. Lorsqu’un utilisateur clique sur la fausse publicité, un malware est téléchargé sur son système. Par exemple, la plupart des internautes ont déjà vu une annonce indiquant « STOP ! Votre système est infecté ! » accompagnée d’un bouton « Analyser maintenant ».

Les téléchargements furtifs peuvent également utiliser de fausses fenêtres de dialogue qui semblent provenir de votre système d’exploitation, ou des publicités contextuelles d’apparence bénigne. En cliquant pour fermer la boîte de dialogue ou la publicité contextuelle, vous déclenchez en fait le téléchargement d’un malware.

FakeBat Loader

Comme son nom l’indique, FakeBat Loader est un type de malware dont le but principal est de télécharger discrètement des charges utiles de malware secondaires. 

Vous vous demandez peut-être : « pourquoi télécharger un injecteur qui téléchargera ensuite la charge utile du vrai malware, plutôt que d’utiliser simplement la technique du téléchargement furtif pour télécharger la charge utile en premier lieu ? »

Il s’avère que FakeBat est techniquement considéré comme un injecteur en tant que service (loader-as-a-service ou LaaS). En d’autres termes, un cybercriminel (un acteur de la menace russophone appelé Eugenfest) propose FakeBat en tant que service par abonnement payant à d’autres cyber-escrocs. Il est même disponible dans différents formats et configurations en fonction des besoins de l’utilisateur. Les abonnements peuvent être souscrits sur une base hebdomadaire ou mensuelle. 

Pour les cybercriminels ordinaires, l’avantage de FakeBat est qu’il est très bien conçu de manière à masquer sa nature malveillante, ce qui le rend peu susceptible d’être détecté par les stratégies de sécurité qui recherchent des publicités ou sites Web malveillants ou compromis utilisant la technologie du téléchargement furtif.

De plus, une fois installé dans le système d’une cible, il est également très efficace pour télécharger d’autres charges utiles sans être détecté.

Tout cela tend à montrer que l’écosystème de la cybercriminalité s’est transformé en une économie très mature, avec des participants hautement spécialisés qui échangent des services précieux. Ainsi, bien que les caractéristiques de cette économie souterraine soient très complexes, même une personne ayant des compétences très limitées en programmation peut lancer des cyberattaques sophistiquées en sous-traitant les étapes difficiles, comme la création d’un injecteur qui peut passer inaperçu lors du téléchargement de malwares, tels que des ransomwares, sur un système cible.

Une défense efficace

L’hameçonnage et le social engineering restent les principales stratégies des acteurs de la menace pour obtenir un premier accès à un système ciblé. Les téléchargements furtifs entrent dans cette catégorie et, pour réduire la vulnérabilité de votre entreprise, l’un des moyens les plus efficaces consiste à mettre en place des programmes de formation continus et bien conçus en matière de sensibilisation à la sécurité. 

Les programmes de formation en ligne tels que la Formation de sensibilisation à la sécurité Barracuda, inclue dans Barracuda Email Protection, peuvent être extrêmement utiles et il est prouvé qu’ils réduisent la vulnérabilité. Mais ces solutions ne fonctionnent pas seules. C’est à vous de créer une culture de sensibilisation à la sécurité et de lancer activement des campagnes de simulation et de formation continues pour une meilleure efficacité.

Sur le plan technique, les solutions de sécurité Web sont de plus en plus efficaces pour détecter et bloquer les sites malveillants ou les sites légitimes qui ont été compromis. Les fonctionnalités de suivi des modèles et de détection des anomalies optimisées par l’IA permet à des produits tels que Barracuda Web Security, intégré à Barracuda Network Protection, d’empêcher de manière plus efficace l’exposition des utilisateurs à de fausses publicités et le lancement d’attaques de téléchargement furtif.