Mise à jour Adobe Flash faux cache un mineur travaillant comme une mise à jour des logiciels légitimes

Computer Security News

Experts en sécurité Palo Alto alertés d’une mise à jour Adobe Flash faux cachant un mineur qui fonctionne comme une mise à jour des logiciels légitimes.

Selon les experts, la mise à jour Adobe Flash faux a été utilisé comme vecteur pour un mineur cryptocurrency malveillants.

La mise à jour faux a été activement utilisé dans une campagne de malware depuis cet été. Il met à jour les logiciels de la victime en empruntant le code de la légitime mise à jour en téléchargeant un mineur de cryptocurrency XMRig sur les systèmes Windows.

« Toutefois, un récent type de faux Flash mise à jour a mis en place une tromperie supplémentaire. Aussi tôt qu’août 2018, les quelques échantillons imitant les mises à jour Flash ont emprunté des notifications de pop-up de l’installateur officiel d’Adobe. » les États d’analyse de Palo Alto.

« Ces fausses mises à jour Flash installent les programmes indésirables comme un XMRig cryptocurrency miner, mais ce logiciel malveillant peut également mettre à jour Flash Player de la victime vers la dernière version. »

Les mises à jour fausses utilisent des noms de fichiers commençant par AdobeFlashPlayer hébergée sur les serveurs web basée sur un nuage qui n’appartiennent pas à Adobe.

Les téléchargements malveillants incluent la chaîne « flashplayer_down.php?clickid= » dans l’URL.

À ce stade, aucun détail sur la façon dont les pirates sont étendaient les URL fournissant la mise à jour de faux Adobe Flash n’est révélés.

Le domaine est lié à d’autres programmes ou installateurs poussant cryptocurrency mineurs et autres logiciels indésirables.

Selon l’analyse du trafic réseau, les hôtes Windows infectés se connecter à [osdsoft[.]com] via une demande HTTP POST. Le domaine était associé updaters ou installateurs qui poussent cryptocurrency mineurs.

« Ce domaine est associé à updaters ou installateurs poussant cryptocurrency mineurs et autres logiciels indésirables. Un bon exemple de décembre 2017 gratuit-mod-menu-téléchargement-ps3.exe nommée aussi spectacles osdsoft [.] com suivie de XMRig le trafic sur le port TCP 14444 comme dans l’exemple utilisé dans ce blog. » peut-on lire dans le rapport.

« Toutefois, les autres exemples de logiciels malveillants révèlent osdsoft [.] com est associé avec d’autres programmes indésirables habituellement classées comme malware. »

Les experts chez Palo Alto Networks soulignent que les victimes potentielles vont continuer à recevoir les messages d’avertissement sur les fichiers téléchargés en cours d’exécution sur les ordinateurs Windows.

« Cette campagne utilise des activités légitimes pour masquer la distribution des cryptocurrency mineurs et autres programmes indésirables, » conclut l’analyse.

« Organisations avec filtrage web décent et les utilisateurs formés ont un risque beaucoup plus faible de l’infection par ces fausses mises à jour.


Leave a Reply

Your email address will not be published. Required fields are marked *