Quand des pirates créent une fausse plateforme de streaming pour diffuser leur malware

Des hackers affiliés au malware BazaLoader ont profité de l'évolution des usages, favorable aux services de streaming, pour créer une fausse plateforme en s'appuyant sur les leviers potentiels sur lesquels jouent les internautes, comme la fameuse période d'essai gratuite.

Ces derniers mois, la Covid-19 a boosté l'imagination des pirates informatiques qui ont vu plein de nouvelles opportunités émerger et d'autres être davantage crédibilisées par la pandémie. C'est le cas notamment du piège à la plateforme de streaming. Des affiliés du groupe BazaLoader, qui diffusent un malware du même nom, ont mis en place une chaîne d'infection complexe mais redoutable, jouant sur l'abonnement et la résiliation d'abonnement pour piéger leurs victimes. Pour cela, il leur a fallu user d'ingénierie sociale, et surtout créer un service de streaming factice, qui aux yeux des victimes avait tout d'un vrai.

Les pirates mélangent la peur de la dépense à l'essor du streaming vidéo

Détecté pour la première fois en avril 2020, le désormais célèbre malware BazaLoader (aussi appelé BazarLoader) est de retour ! Les chercheurs en cybersécurité de Proofpoint ont découvert une nouvelle campagne qui selon eux nécessite « un très haut niveau d'interaction humaine ». Le but, évidemment, est d'aboutir à l'exécution, par les victimes, du fameux logiciel malveillant. Mais comment ? En jouant sur l'engouement des usagers pour les plateformes de streaming et la période d'essai gratuite, qu'il faut résilier avant de basculer sur un abonnement payant.

BazaLoader s'est mis en tête d'exploiter le thème de la résiliation des services de streaming grâce à des leurres malveillants. La chaîne d'infection démarre, chose bien classique, par l'envoi d'un email. Deux sujets sont souvenus revenus : « Votre période d'essai M0012064753012345 va bientôt expirer. Heureusement, vous avez pris la décision de rester avec nous ! », ou bien « la phase de démonstration est expirée! Votre compte # M0272028060812345 sera automatiquement transféré vers le plan premium ! ». Le hacker prévient alors la victime que sa carte de crédit sera débitée si elle n'annule pas son abonnement au service. C'est là que les choses s'enclenchent.

Un site de streaming tout à fait crédible, avec de vrais-faux contenus

Comme vous le voyez sur l'image, l'étape suivante est celle de l'appel de la victime vers le service client du fameux service de streaming factice, baptisé « BravoMovies ». L'idée, pour le pirate, est de faire croire à la victime qu'elle annulera son abonnement et préservera ses finances si elle passe ce coup de fil.

Au téléphone, troisième étape, on retrouve un représentant du service client, qui redirige alors la victime potentielle vers le site de la plateforme de streaming, l'étape suivante.

Une fois arrivé sur la fausse plateforme, le résultat est assez bluffant. BravoMovies semble avoir, à première vue, tout d'un service de streaming de films et de contenus TV. Les pirates ont même pris le temps et le soin d'utiliser de fausses affiches de films, avec des éléments provenant notamment d'une agence de publicité, d'un bouquin et d'un réseau social créatif, Behance.

Alors que le charme fait son effet, l'utilisateur suit les recommandations obtenues par téléphone auprès de la fausse centrale d'appels et accède à la FAQ du site web, qui lui indique toujours aussi proprement comment résilier son abonnement. C'est la cinquième étape de cette longue chaîne d'infection.

BazaLoader joue avec succès sur l'interaction humaine

Sur la Foire aux questions, l'utilisateur est invité à suivre les instructions pour se diriger vers la page « Abonnement » du site, afin de procéder à sa désinscription. Il faut savoir qu'à ce moment-là, l'utilisateur n'est pas encore piégé. Mais il est sous emprise. Vous remarquerez que le tarif mensuel évoqué (39,99 dollars) est suffisamment élevé pour inciter au clic.

En cliquant sur « Cancel » (pour annuler l'abonnement factice), le site contraint la victime à ouvrir une feuille Excel, qui contient des macros. C'est la sixième étape de la chaîne. Si jamais les macros sont activées, alors, elles permettent le téléchargement de BazaLoader sur l'appareil de la victime. Septième et dernière étape de la chaîne d'infection.

Cette campagne, observée au début du mois de mai, aurait pu être difficilement exploitable, sur le papier, en raison de sa longue chaîne d'infection, qui implique qui plus est un engagement fort des personnes ciblées, avec le coup de fil passé au centre d'appels. Car en théorie, plus les étapes sont nombreuses, moins l'attaque a de chances d'aller au bout.

« Bien qu'elles soient contre-intuitives, les techniques utilisées par les acteurs de la menace dans cette campagne et dans des campagnes similaires aident à contourner les systèmes de détection de menace entièrement automatisés. De plus, tirer parti d'un leurre d'annulation de service de streaming correspond à une tendance croissante des utilisateurs à annuler le divertissement en ligne à la suite de la croissance majeure du secteur en 2020 », note Proofpoint.

BazaLoader, écrit dans le langage de programmation très courant C++, continue de sévir. Le malware, qui permet d'exécuter des modules supplémentaires et aide au chargement de ransomwares tels Ryuk et Conti, joue dans diverses campagnes sur les interactions humaines, ce qui lui permet de contourner régulièrement des services de détection automatisée des menaces, qui se bornent à ne signaler que les pièces-jointes ou liens contenus dans les courriers électroniques.

^{_{Source : Proofpoint}}