La campagne qui a transformé un PUP en une porte de derrière capable de désactiver les défenses

Les chercheurs en sécurité ont découvert une campagne inquiétante dans laquelle un ensemble de programmes énumérés en principe comme des logiciels potentiellement indésirables (PUP) n'ont pas seulement montré des annonces: il a caché une chaîne de mise à jour capable d'introduire des charges utiles qui fonctionnent avec des privilèges SYSTEM et laissé des équipements sans protection antivirus. Selon les équipes qui ont analysé le cas, un jour plus de 23 500 équipes dans 124 pays ont tenté de contacter l'infrastructure de l'opérateur, y compris des centaines de réseaux de grande valeur tels que les universités, les prestataires de services publics, les administrations et les centres de santé.

Ce qui a commencé comme adware a fini par se comporter comme un désactivateur de défense. Les échantillons analysés ont été signés numériquement par une entité qui opéra sous le nom de Dragon Boss Solutions LLC et a promu les prétendus « navigateurs » (noms tels que Chromstera, Chromnius, WorldWideWeb, Web Genius ou Artificius Browser) qui, dans la pratique, ont été détectés par plusieurs solutions de sécurité telles que PUP. L'analyse a révélé que ces installateurs ont intégré un mécanisme commercial de mise à jour - développé avec l'outil Advanced Installer - qui pourrait télécharger et installer des scripts MSI et PowerShell de manière complètement calme et avec la levée de permission. Plus d'informations sur Advanced Installer dans votre documentation officielle: https: / / www.advancedinstaller.com / user-guide / tutoriel-update.html.

L'installateur distant téléchargé par ce mécanisme a été camouflé (par exemple, un fichier Setup.msi présenté sous forme d'image) et, bien que sur les plateformes d'analyse communautaire comme VirusTotal ne soit indiqué que par quelques détecteurs, son contenu comprenait des composants légitimes utilisés par Advanced Installer ainsi qu'un fichier de configuration avec des actions personnalisées. Avant de déployer sa charge principale, le MSI a procédé à une reconnaissance d'équipe : il a vérifié si le processus était exécuté avec des privilèges administratifs, si l'environnement était une machine virtuelle, s'il avait accès à Internet et quelles solutions antivirus étaient présentes dans le registre (des chercheurs ont vu des vérifications auprès de fabricants tels que Malharebytes, Kaspersky, McAfee et ESET).

La routine de désactivation a été matérialisée dans un script PowerShell nommé par des analystes tels que ClockRemoval.ps1, qui a été logé dans plusieurs emplacements et configuré pour fonctionner au début du système, au début de la session et périodiquement toutes les demi-heures. Ce script n'était pas limité aux processus ou services d'arrêt: il a essayé de désinstaller les produits de sécurité silencieusement, effacé les dossiers associés et les entrées de journal, suppression forcée lorsque les désinstallateurs ont échoué et bloqué la réinstallation ou la mise à jour des fournisseurs en modifiant le fichier hôte ou en annulant leurs domaines (les rediriger à 0.0.0). En outre, l'attaquant semblait éviter toute interférence avec les installateurs de navigateurs légitimes - tels que Chrome, Edge, Firefox ou Opera - pour assurer la persistance de ses modifications et de ses rédresses.

Un détail critique dans cet incident est que les principaux domaines utilisés par la fonctionnalité de mise à jour n'ont pas été enregistrés par l'opérateur; cela a laissé des milliers d'équipes à la recherche d'instructions dans les noms de domaine qui ont été laissés libres. Les chercheurs ont profité de cette situation pour enregistrer le domaine principal, ce qui leur a permis d'observer des dizaines de milliers de connexions sortantes de machines compromises et, au passage, d'empêcher un tiers de prendre le domaine en charge et d'envoyer des ordres arbitraires ou des charges utiles à des hostiles déjà non protégés. Ce type de prise en charge du domaine de mise à jour est une intervention défensive délicate qui a déjà été utilisée dans les enquêtes précédentes pour empêcher une nouvelle escalade.

Les analystes ont identifié des centaines d'équipes dans les réseaux stratégiques : un volume important dans les établissements universitaires de différentes régions, les systèmes de contrôle de l'industrie et des transports, les administrations publiques et certains environnements sanitaires. Bien qu'au moment de trouver le principal fardeau ait été axé sur la désactivation des solutions de sécurité et générer des revenus de la publicité, les chercheurs avertissent que l'infrastructure et le mécanisme de prestation pourraient mettre en danger tout réseau: Si un acteur malveillant prenait le contrôle du domaine de mise à jour, il pourrait distribuer des logiciels beaucoup plus nocifs à des milliers de machines qui n'ont plus de protection active.

Pour les équipes informatiques et les interventions en cas d'incident, les analyses publiées fournissent des indicateurs pratiques qui devraient être examinés immédiatement : rechercher les processus signés par Dragon Boss Solutions LLC, inspecter les abonnements à des événements de l'IMM contenant des chaînes telles que « MbSetup » ou « MbSetup », et vérifier les tâches programmées qui renvoient à des noms tels que « WMiload » ou « ClockSemoval ». Il est également recommandé de vérifier le fichier hôte à la recherche d'entrées qui bloquent les domaines des fournisseurs de sécurité et de revoir les exclusions de Microsoft Defender pour les routes inhabituelles (p. ex., les entrées qui commencent par «DGoogle», «EMicrosoft» ou «DDapps»). Pour mieux comprendre comment gérer les exclusions dans Defender, veuillez consulter la documentation officielle de Microsoft: https: / / learn.microsoft.com.

Bien que la description technique puisse sembler complexe, l'idée centrale est simple : un composant qui semble initialement inoffensif peut devenir une porte arrière puissante s'il intègre un mécanisme de mise à jour avec des autorisations élevées et un accès à distance. Par conséquent, au-delà de la détection et de l'élimination ponctuelles, les organisations doivent renforcer leur hygiène numérique : contrôler quelles entreprises et quels fournisseurs sont autorisés à installer des logiciels, limiter la levée de privilèges par le biais de politiques, surveiller leurs canaux de mise à jour et maintenir des procédures de réponse qui leur permettront de récupérer des machines qui ont perdu leurs défenses.

Les rapports publics de cet incident comprennent le travail de l'entreprise qui l'a détecté et la couverture dans les médias spécialisés. Pour suivre les notes originales et les analyses techniques, voir la page principale de Huntress, qui était l'entreprise qui a enquêté sur l'affaire, ainsi que les moyens qui ont recueilli les informations supplémentaires et les contextes: https: / / www.huntress.com / et l'en-tête de recherche technique Calculateur. Le fichier MSI utilisé dans le test apparaît dans VirusTotal et peut être examiné à partir de la plateforme d'analyse: VirusTotal: MSI hash. Pour des informations générales sur les conséquences des modifications du fichier hôte et pourquoi les attaquants l'utilisent pour bloquer les mises à jour, la documentation technique de Microsoft est une ressource de référence: modifier le fichier hôte sous Windows.

En bref, cette affaire rappelle que les acteurs malveillants n'ont pas toujours besoin de déployer des Trojans complexes dès le début : il suffit parfois d'un logiciel signé qui abuse d'un mécanisme de mise à jour légitime pour éteindre les lumières d'un réseau et préparer le terrain aux menaces majeures. Le maintien des politiques de contrôle des logiciels, la surveillance des modèles de mise à jour inhabituels et la réponse rapide aux signes de désactivation AV sont des mesures qui peuvent aujourd'hui éviter une crise demain.