Un récent rapport de la firme de renseignement CTM360 révèle une campagne active qui profite de l'écosystème de Google pour propager les logiciels malveillants et prendre le contrôle des comptes d'entreprise. Selon l'analyse publiée par CTM360, les agresseurs ont créé des milliers de groupes sur les groupes Google et des centaines de liens hébergés dans les services Google pour gagner en confiance et distribuer des outils conçus pour voler des identifiants et maintenir un accès persistant aux équipes touchées. Vous pouvez consulter le rapport complet sur le site de la CTM360 : https: / / www.ctm360.com / rapports / ninja-browser-lumma-infostealer.
L'ingénierie sociale est le point de départ: les opérateurs infiltrent des forums et des groupes thématiques où des questions techniques légitimes sont discutées et publient des entrées qui ressemblent à des solutions ou téléchargements utiles, y compris des noms d'entreprises et des mots clés du secteur pour donner l'apparence de l'authenticité. Dans ces fils, ils placent des liens déguisés - par exemple, des invitations à "télécharger" des outils prétendument spécifiques pour une organisation - et utilisent des raccourcis ou des retouches hébergés dans Docs et Drive pour échapper aux filtres et cacher la chaîne de livraison finale.
Dans les ordinateurs Windows, le téléchargement a conduit à un fichier compressé protégé par mot de passe. Lors de la décompression, le volume réel du fichier trompe les moteurs de détection : le conteneur peut s'étendre à presque un gigaoctet, mais le composant malveillant n'occupe qu'une fraction (selon CTM360, environ 33 Mo), tandis que le reste est rempli d'octets nuls pour rendre difficile le balayage statique. Une fois exécuté, l'installateur reconstruise des binaires fragmentés et lance un composant compilé avec AutoIt qui déchiffre une charge en mémoire. Le comportement observé coïncide avec celui d'un infostealer commercial connu sous le nom de Lumma, qui pointe vers les identifiants de navigateur et les cookies de session, exécute les commandes shell et les données exfilters en utilisant les requêtes HTTP POST pour contrôler et contrôler les serveurs identifiés par les chercheurs. La CTM360 fournit des indicateurs tels que les domaines associés et les haches qui permettent la détection et le blocage de cette infrastructure.
Pour les utilisateurs de Linux le piège a un autre côté: au lieu d'un ZIP fortement rempli, les victimes sont dirigées à installer un navigateur Chrome modifié sous la marque "Ninja Browser." À première vue, il promet la confidentialité et l'anonymat, mais en arrière-plan il intègre des extensions malveillantes qui sont installées sans le consentement de l'utilisateur et des mécanismes cachés pour maintenir la présence de l'agresseur dans le système. L'une de ces extensions, analysée par CTM360, agit en tant qu'agent de suivi et de traitement : elle assigne des identifiants uniques aux utilisateurs, injecte des scripts dans des sessions Web, gère des onglets et des cookies, et télécharge du contenu à distance en utilisant JavaScript fortement obfusqué.
Les chercheurs ont également trouvé des tâches programmées qui consultent des serveurs contrôlés quotidiennement, des procédures de mise à jour silencieuse et des redirections vers des moteurs de recherche suspects, suggérant une architecture conçue pour les développements futurs de l'attaque. Les domaines liés au projet comprennent des variantes liées à « ninja-browser », et CTM360 énumère également des adresses IP et un domaine C2 (p. ex., healingeni [.] live) qui permettent aux équipes de sécurité de bloquer et de suivre les activités malveillantes.
Ce type de campagne s'inscrit dans une tendance qui a déjà documenté plusieurs acteurs du secteur de la sécurité : l'abus de plateformes légitimes et de services cloud pour distribuer des codes malveillants réduit les frictions et exploite la présomption de confiance des utilisateurs et des filtres. De l'hameçonnage avec des documents hébergés sur Google Drive à des charges utiles qui reposent sur des services d'archivage légitimes, l'utilisation de l'infrastructure de « confiance » complique la détection traditionnelle; c'est un modèle qui a été observé lors d'incidents précédents et que les analystes de la sécurité ont mis en garde ces dernières années, comme en témoignent les rapports de presse spécialisés et l'analyse technique sur l'abus de services en nuage (voir par exemple le suivi général de ce type d'attaque publié par KrebsOnSécurité).
Du point de vue technique, les techniques utilisées par les opérateurs - la mise en place de binaires pour éviter l'analyse, la reconstruction en temps d'exécution avec AutoIt et les charges en mémoire - ne sont pas nouvelles en elles-mêmes, mais leur combinaison avec la visibilité qu'elle fournit pour accueillir des éléments dans des domaines et des services réputés les rend efficaces. Des sociétés de sécurité comme ESET ont documenté comment AutoIt et d'autres langages de script sont abusés pour emballer et exécuter des charges malveillantes, et donc les équipes de réponse devraient être attentives aux indicateurs de performance plutôt qu'aux signaux statiques: Sécurité WeLive / ESET fournit des explications utiles sur ces techniques.
Les conséquences pour les organisations peuvent être graves : le vol de lettres de créances et de jetons de session facilite l'enlèvement de comptes, la fraude financière et le mouvement latéral au sein des réseaux d'entreprises, tandis que les composants installés furtivement peuvent fonctionner comme des portes d'arrière pour les opérations futures. C'est pourquoi les équipes de sécurité devraient combiner les mesures techniques et la formation : revoir les chaînes de redirection (en particulier celles qui passent par Docs / Drive), bloquer les indicateurs d'engagement au niveau du pare-feu et de l'EDR, vérifier les extensions du navigateur et surveiller la création de tâches programmées ou de processus inhabituels dans les paramètres. Le CTM360 propose un ensemble d'actions similaires et publie des COI qui facilitent leur incorporation dans les règles de détection; le rapport est disponible à l'adresse suivante: CTM360 - Ninja Browser & Lumma Infostealer.
Afin de mettre en contexte ces recommandations dans des bonnes pratiques plus générales, les gestionnaires de l'identité et de l'accès devraient revoir les guides de protection des pouvoirs et de détection des abus de comptes publics, tels que ceux fournis par Microsoft dans leurs documents techniques de protection de l'identité, et appliquer des contrôles d'accès fondés sur le risque et l'authentification multifactorielle lorsque cela est possible. Les lignes directrices de Microsoft sur la défense contre le vol d'identité et la gestion de l'identité sont un bon point de départ: Microsoft - Protection de l'identité. En outre, les utilisateurs devraient recevoir une formation pratique pour reconnaître les signes de fraude dans les forums publics et éviter d'installer des logiciels de sources non vérifiées; les documents de sensibilisation et les exercices d'hameçonnage aident à réduire la probabilité que ce type d'attrait soit réussi.
Au niveau opérationnel, il est de plus en plus nécessaire d'intégrer le suivi des menaces externes qui surveillent les forums, les pages et les services d'hébergement de tiers. Des outils qui détectent les changements dans les domaines liés à la marque, l'apparition de téléchargements suspects ou l'utilisation de services légitimes pour rediriger le trafic malveillant apportent une visibilité précoce. CTM360, de concert avec d'autres fournisseurs de renseignements, tient à jour les listes de domaines, les PI et les hachages associés à l'attaque; son rapport comprend des données qui peuvent être intégrées dans les solutions de blocage et les processus d'intervention en cas d'incident.
La campagne décrite par CTM360, qui combine un infostealer commercial avec un navigateur bloqué et une utilisation stratégique de services de confiance, rappelle que la sécurité moderne exige une attention à la fois à la technique et au facteur humain. Le maintien des canaux de communication avec les fournisseurs de sécurité, la distribution rapide des indicateurs d'engagement et le renforcement de l'hygiène numérique des utilisateurs sont des actions qui réduisent l'impact de ces attaques. Pour ceux qui souhaitent approfondir les résultats et profiter de l'IdO fournie par les chercheurs, le rapport original est disponible sur le site Internet de la CTM360: https: / / www.ctm360.com / rapports / ninja-browser-lumma-infostealer.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...