Mise à jour Adobe Flash faux cache un mineur travaillant comme une mise à jour des logiciels légitimes
Computer Security NewsExperts en sécurité Palo Alto alertés d’une mise à jour Adobe Flash faux cachant un mineur qui fonctionne comme une mise à jour des logiciels légitimes. Selon les chercheurs, la mise à jour Adobe Flash faux a été utilisé comme vecteur pour un mineur cryptocurrency malveillants.
La mise à jour faux a été activement utilisé dans une campagne de malware depuis cet été. Il met à jour les logiciels de la victime en empruntant le code de la légitime mise à jour en téléchargeant un mineur de cryptocurrency XMRig sur les systèmes Windows.
« Toutefois, un récent type de faux Flash mise à jour a mis en place une tromperie supplémentaire. Aussi tôt qu’août 2018, les quelques échantillons imitant les mises à jour Flash ont emprunté des notifications de pop-up de l’installateur officiel d’Adobe. » les États d’analyse de Palo Alto.
« Ces fausses mises à jour Flash installent les programmes indésirables comme un XMRig cryptocurrency miner, mais ce logiciel malveillant peut également mettre à jour Flash Player de la victime vers la dernière version. »
Les mises à jour fausses utilisent des noms de fichiers commençant par AdobeFlashPlayer hébergée sur les serveurs web basée sur un nuage qui n’appartiennent pas à Adobe. Les téléchargements malveillants incluent la chaîne « flashplayer_down.php?clickid= » dans l’URL.
À ce stade, aucun détail sur la façon dont les pirates sont étendaient les URL fournissant la mise à jour de faux Adobe Flash n’est révélés.
Le domaine est lié à d’autres programmes ou installateurs poussant cryptocurrency mineurs et autres logiciels indésirables.
Selon l’analyse du trafic réseau, les hôtes Windows infectés se connecter à [osdsoft[.]com] via une demande HTTP POST. Le domaine était associé updaters ou installateurs qui poussent cryptocurrency mineurs.
« Ce domaine est associé à updaters ou installateurs poussant cryptocurrency mineurs et autres logiciels indésirables. Un bon exemple de décembre 2017 gratuit-mod-menu-téléchargement-ps3.exe nommée aussi spectacles osdsoft [.] com suivie de XMRig le trafic sur le port TCP 14444 comme dans l’exemple utilisé dans ce blog. » peut-on lire dans le rapport.
« Toutefois, les autres exemples de logiciels malveillants révèlent osdsoft [.] com est associé avec d’autres programmes indésirables habituellement classées comme malware. »
Les experts chez Palo Alto Networks soulignent que les victimes potentielles vont continuer à recevoir les messages d’avertissement sur les fichiers téléchargés en cours d’exécution sur les ordinateurs Windows.
« Cette campagne utilise des activités légitimes pour masquer la distribution des cryptocurrency mineurs et autres programmes indésirables, » conclut l’analyse.
« Organisations avec filtrage web décent et les utilisateurs formés ont un risque beaucoup plus faible de l’infection par ces fausses mises à jour.
