Table des matières
Les utilisateurs à la recherche de l’application Meta Quest pour Windows se retrouvent souvent ciblés par des pirates. Ces derniers profitent de l’empressement des utilisateurs à télécharger l’application pour leur proposer des versions malveillantes.
Attaque au Meta Quest : Découverte par eSentire
D’abord, les centres d’opérations de sécurité (SOC) d’eSentire, actifs 24/7, ont découvert un nouveau logiciel publicitaire. Ces SOC, composés de chasseurs de menaces et de cyber-analystes, identifient et neutralisent rapidement les menaces. Ils ont récemment découvert que ce logiciel attaque spécifiquement les utilisateurs recherchant l’application Meta Quest.
Attaque au Meta Quest : Précédentes découvertes de menaces
Ensuite, ce groupe de sécurité a déjà mis au jour des attaques importantes, comme la faille Kaseya MSP et le malware more_eggs.
Attaque au Meta Quest : Fonctionnement du logiciel publicitaire
En juin 2024, l’unité de réponse aux menaces d’eSentire a identifié AdsExhaust. Ce logiciel se fait passer pour un installateur d’Oculus, mais vole des captures d’écran et manipule l’activité de navigation des utilisateurs pour générer des revenus publicitaires. Ainsi, l’infection commence par un fichier ZIP contenant des scripts batch. En plus, ces scripts récupèrent d’autres composants malveillants et créent des tâches planifiées pour rester actifs.
Attaque au Meta Quest : Détails techniques
En outre, un script PowerShell collecte des informations système, prend des captures d’écran et envoie les données à un serveur C2. AdsExhaust utilise une charge utile PowerShell malveillante avec un mutex pour garantir qu’une seule instance du logiciel s’exécute, ciblant Microsoft Edge.
Attaque au Meta Quest : Activités malveillantes
Par ailleurs, lorsque le logiciel est inactif, il simule l’interaction utilisateur avec les publicités. Il clique, ouvre des onglets et navigue vers des URL intégrées. AdsExhaust prend également des captures d’écran pour se camoufler. Ainsi, il interagit avec le contenu “sponsorisé” pour générer de faux revenus publicitaires. En plus, il utilise les recherches Google pour récupérer des mots-clés depuis un serveur distant.
Techniques avancées
Ce logiciel publicitaire déploie diverses techniques pour échapper à la détection tout en générant des revenus illégaux. Il utilise la communication C2, la simulation de frappe et la manipulation d’écran.
Recommandations
Enfin, pour se protéger contre ce type de menace, il est recommandé de :
- Déployer des solutions EDR sur tous les appareils.
- Organiser des formations de sensibilisation au phishing et à la sécurité.
- Modifier les paramètres par défaut pour ouvrir les fichiers de script dans les éditeurs de texte.
Pour plus d’articles sur la cybersécurité, consultez régulièrement GeekFrance.
