Dans le monde complexe de la cybersécurité, une menace insidieuse a récemment été mise en lumière par Microsoft : l’utilisation du malvertising combiné à l’environnement Node.js pour la distribution de logiciels malveillants. Depuis octobre 2024, des cybercriminels non identifiés exploitent cette technique pour cibler les systèmes de certains clients de Microsoft, volant ainsi des données sensibles et installant des malwares de manière clandestine.
Comprendre le malvertising et Node.js
Le malvertising, contraction de « malware » et « advertising », désigne l’affichage d’annonces publicitaires factices souvent visibles dans les résultats des moteurs de recherche. Cette méthode trompe les utilisateurs, les incitant à visiter des sites de phishing ou à lancer le téléchargement de fichiers infectés à leur insu. Les victimes sont redirigées vers des sites imitant des plateformes légitimes et sont invitées à télécharger un programme d’installation. Ces publicités concernent principalement les crypto-monnaies, avec des fichiers se faisant passer pour ceux de Binance, TradingView ou d’autres plateformes de trading.
L’installer, une fois lancé, charge une DLL qui crée une tâche planifiée pour un script PowerShell. Ce script est capable de récupérer à distance divers scripts destinés à rassembler des informations système précises, telles que les détails sur le BIOS, le CPU, le GPU, la mémoire et le système d’exploitation. Un autre script télécharge l’environnement d’exécution de Node.js, un fichier JSC (JavaScript Compilé) et plusieurs bibliothèques.
Le rôle de Node.js dans l’attaque
Le fichier exécutable de Node.js exécute le fichier JSC, dont la mission est de dérober des données sensibles directement depuis le navigateur de l’utilisateur. Par ailleurs, d’autres scripts sont conçus pour subtiliser les identifiants de connexion et faciliter la distribution de logiciels malveillants sur l’ordinateur cible.
Recommandations de sécurité par Microsoft
Microsoft conseille vivement l’utilisation de la protection cloud offerte par Defender Antivirus pour contrer ces menaces. Surveiller les scripts PowerShell et bloquer les connexions sortantes suspectes à l’aide d’un pare-feu figurent parmi les préconisations de l’entreprise pour renforcer la sécurité des systèmes concernés.
La découverte de cette chaîne d’infection démontre l’évolution constante des cybermenaces et la nécessité d’une vigilance accrue de la part des utilisateurs et des entreprises. Alors que les technologies numériques continuent de progresser rapidement, les cybercriminels ne cessent eux aussi de raffiner leurs méthodes pour contourner les protocoles de sécurité existants.