Deux nouvelles campagnes ont été lancées en mars et avril 2023 par le gang à l’origine du logiciel malveillant CopperStealer, qui tente de diffuser les dispositifs CopperStealth et CopperPhish.

Le groupe Water Orthrus, qui a des motivations financières, est activement surveillé par Trend Micro. Cet adversaire serait également responsable de la campagne Scranos, annoncée par Bitdefender plus tôt en 2019.

Water Orthrus opère depuis au moins 2021 et a l’habitude d’utiliser des réseaux de paiement à l’installation (PPI). Ils utilisent les données volées par le voleur CopperStealer pour détourner les utilisateurs vers des sites web qui proposent l’installation de logiciels piratés.

Les séquences d’attaques les plus récentes documentées par Trend Micro ne s’écartent pas de manière significative des modèles précédents. CopperStealth se propage par le biais d’installations d’utilitaires gratuits sur des pages web chinoises de partage de logiciels.

Dans une étude, les experts en sécurité Jaromir Horejsi et Joseph C Chen ont décrit comment CopperStealth se propage en installant et en activant un rootkit avant d’injecter son logiciel malveillant dans explorer.exe et d’autres programmes informatiques. D’autres fonctions sont téléchargées et exécutées par ces paquets – en outre, le rootkit limite l’accès aux entrées de registre figurant sur la liste de blocage et l’exécution d’applications et d’adaptateurs particuliers.

Les motifs d’octets associés aux fournisseurs chinois de programmes de sécurité Huorong, Kingsoft et Qihoo 360 sont répertoriés dans la liste de dénominations des adaptateurs.

Lire aussi : « 11 nouvelles vulnérabilités exposent les réseaux OT des routeurs cellulaires industriels ».

La campagne CopperPhish, détectée dans le monde entier en avril 2023, utilise un processus similaire pour déployer le logiciel malveillant. Des systèmes PPI connectés à des sites web gratuits et anonymes qui partagent des fichiers sont utilisés.

Selon les chercheurs, les visiteurs sont redirigés vers une page de téléchargement créée par le réseau PPI après avoir cliqué sur ses publicités, sous la forme d’un lien de téléchargement. PrivateLoader, le fichier qui a été téléchargé, est chargé d’installer et de faire fonctionner différents virus.

Pour ce faire, CopperPhish lance un programme rundll32 et injecte un programme Visual Basic simple dans l’onglet du navigateur qui accède à une URL malveillante. Cette page invite les victimes à scanner un code QR pour vérifier leur identité et à saisir un code de confirmation pour « restaurer le réseau de votre appareil ».

Une fois les données sensibles saisies sur la page, le logiciel malveillant CopperPhish affiche un message indiquant que « la vérification d’identité a réussi », ainsi qu’un code de confirmation. Le logiciel malveillant se désactive et supprime tous les programmes malveillants présents sur le système s’il reçoit le code d’autorisation correct. Le code d’autorisation et l’authentification sont deux fonctions importantes qui améliorent l’efficacité de ce kit de piratage.

Les divers objectifs de ces campagnes reflètent l’évolution des tactiques des acteurs de la menace, suggérant une tentative de renforcer leurs capacités et d’élargir leurs gains financiers.

Ces résultats interviennent lorsque des publicités Google malveillantes incitent les utilisateurs à télécharger de faux programmes d’installation d’outils d’intelligence artificielle tels que Midjourney et OpenAI’s ChatGPT, qui finissent par déposer des voleurs tels que Vidar et RedLine.

En outre, une toute nouvelle société de monétisation du trafic, appelée TrafficStealer, a été identifiée. Elle tire parti des erreurs de paquets pour rediriger le trafic vers des sites web et produire de faux clics publicitaires dans le cadre d’une opération illégale rentable.