CTM360: Lumma Stealer and Ninja Browser malware campaign abusing Google Groups
Mis à jour :
Campagne de Malwares via Google Groups : Lumma Stealer et Ninja Browser
Une campagne de malwares active utilise plus de 4 000 groupes Google et 3 500 URL hébergées sur Google pour cibler des organisations mondiales. Les attaquants exploitent la confiance accordée à l’écosystème Google pour distribuer des malwares voleurs d’identifiants et établir un accès persistant sur les appareils compromis. La campagne, d’envergure mondiale, personnalise les publications avec des noms d’organisations et des mots-clés pertinents pour accroître la crédibilité.
Fonctionnement de la campagne :
La chaîne d’attaque débute par de l’ingénierie sociale au sein de groupes Google. Des acteurs malveillants s’infiltrent dans des forums sectoriels et publient des discussions techniques plausibles (problèmes réseau, erreurs d’authentification, configurations logicielles). Des liens de téléchargement déguisés en “Download {Nom_Organisation} for Windows 10” sont intégrés dans ces discussions. Pour échapper à la détection, des raccourcisseurs d’URL ou des redirigeurs hébergés par Google (via Docs et Drive) sont utilisés. Ces redirigeurs détectent le système d’exploitation de la victime pour délivrer des charges utiles différentes.
Flux d’infection sous Windows : Lumma Info-Stealer
Pour les utilisateurs Windows, la campagne distribue une archive compressée protégée par mot de passe, hébergée sur une infrastructure de partage de fichiers malveillante. La taille de l’archive décompressée (environ 950 Mo) est intentionnellement gonflée pour dépasser les seuils d’analyse antivirus, tandis que la charge utile réelle ne fait qu’environ 33 Mo. La technique de “padding” avec des octets nuls vise à perturber l’analyse statique. Une fois exécuté, le malware reconstitue des fichiers binaires segmentés, lance un exécutable compilé en AutoIt, puis déchiffre et exécute une charge utile résidente en mémoire. Ce comportement est identifié comme celui de Lumma Stealer, un “infostealer” commercialisé.
- Comportements observés de Lumma Stealer :
- Exfiltration des identifiants de navigateur.
- Collecte de cookies de session.
- Exécution de commandes basées sur le shell.
- Requêtes HTTP POST vers l’infrastructure de commande et contrôle (C2), par exemple
healgeni[.]live. - Utilisation de requêtes POST
multipart/form-datapour masquer le contenu exfiltré.
Flux d’infection sous Linux : “Ninja Browser” Trojanisé
Les utilisateurs Linux sont redirigés vers le téléchargement d’un navigateur basé sur Chromium, nommé “Ninja Browser”, qui se présente comme un navigateur axé sur la confidentialité avec des fonctionnalités d’anonymat intégrées. Cependant, il installe silencieusement des extensions malveillantes sans consentement et met en place des mécanismes de persistance cachés.
- Comportement de l’extension malveillante (“NinjaBrowserMonetisation”) :
- Suivi des utilisateurs via des identifiants uniques.
- Injection de scripts dans les sessions web.
- Chargement de contenu à distance.
- Manipulation des onglets et des cookies du navigateur.
- Stockage de données en externe.
- Utilisation de JavaScript obfusqué (encodage XOR et Base56).
- Mécanisme de persistance silencieuse :
- Tâches planifiées configurées pour interroger des serveurs contrôlés par les attaquants quotidiennement.
- Installation silencieuse de mises à jour sans interaction utilisateur.
- Maintien d’une persistance à long terme.
- Le navigateur redirige par défaut vers un moteur de recherche russe nommé “X-Finder”.
Infrastructure et Indicateurs de Compromission (IoCs) :
La campagne est liée à une infrastructure comprenant des adresses IP et des domaines spécifiques. Les détails des IoCs, y compris les hachages SHA-256 et les domaines de C2, sont disponibles dans le rapport complet.
Risques pour les organisations :
- Lumma Stealer : Vol d’identifiants et de jetons de session, prise de contrôle de compte, fraude financière, mouvement latéral dans les environnements d’entreprise.
- Ninja Browser : Collecte d’identifiants silencieuse, exécution de commandes à distance, persistance de type backdoor, mises à jour malveillantes automatiques.
L’utilisation de services Google abuse des mécanismes de filtrage traditionnels basés sur la confiance et augmente la confiance des utilisateurs dans le contenu malveillant.
Recommandations de défense :
- Inspecter les URL raccourcies et les chaînes de redirection Google Docs/Drive.
- Bloquer les IoCs au niveau des pare-feux et des systèmes de détection et réponse étendus (EDR).
- Sensibiliser les utilisateurs à ne pas télécharger de logiciels depuis des forums publics sans vérification.
- Surveiller la création de tâches planifiées sur les points d’extrémité.
- Auditer les installations d’extensions de navigateur.
Cette campagne met en évidence une tendance croissante où les plateformes SaaS de confiance sont de plus en plus exploitées par les attaquants comme infrastructure de distribution pour échapper à la détection.