Après CCleaner et NotPetya, une nouvelle attaque sur la chaîne logistique du logiciel

Récemment, les chercheurs de l’équipe de Windows Defender ont indiqué que le moteur de protection des points de terminaison Windows avait bloqué « plus de 80 instances » du mineur de cryptodeniers Dofoil – aussi connu sous le nom de Smoke Loader – peu avant midi, le 6 mars. Et « au cours des 12 heures suivantes, plus de 400 000 instances ont été enregistrées ».

Cette vitesse de propagation remarquable n’est pas liée à l’exploitation d’une vulnérabilité connue ou inédite : elle est en fait la marque d’une nouvelle opération s’appuyant sur la compromission de la chaîne logistique du logiciel.

Dans un nouveau billet de blog, les équipes de Microsoft expliquent que Dofoil est cette fois-ci distribué non pas via pourriel ou kit d’exploitation, mais MediaGet, un client BitTorrent. Et il ne s’agit pas non plus d’une distribution via un quelconque torrent infecté : l’exécutable mediaget.exe télécharge un exécutable de mise à jour, qui a été compromis par les attaquants ; il s’exécute et installe un nouveau mediaget.exe qui « a les mêmes fonctionnalités que l’original, mais avec en plus une fonctionnalité de porte dérobée ».

L’exécutable de mise à jour est signé par un certificat numérique, mais il s’agit de celui d’un éditeur tiers, sans rapport avec MediaGet et dont les équipes de Microsoft estiment qu’il « est probablement victime » dans cette opération.

La version malicieuse de MediaGet essaie, dès son lancement, de communiquer avec des serveurs de commande et de contrôle, dont plusieurs ne sont pas sur des domaines approuvés par l’Icann : ils ne sont accessibles que via des serveurs DNS liés à l’infrastructure distribuée NameCoin. Ce n’est en fait que sur ordre d’un serveur de commande et de contrôle qu’est téléchargé et lancé le mineur de cryptoderniers : le cheval de Troie ouvre des possibilités bien plus étendues. Sur Twitter, Kevin Beaumont relève d’ailleurs que plusieurs infrastructures de renseignement sur les menaces observent la distribution de maliciels divers et variés via ce vrai/faux MediaGet.

L’ampleur de cette opération n’est pas connue pour l’instant. Mais elle renvoie clairement à deux précédents : CCleaner et NetPetya. Dans les deux cas, la menace est passée par la chaîne logistique du logiciel. Le premier a affecté près de 2,3 millions d’utilisateurs à travers le monde. Et selon les dernières découvertes d’Avast, le déploiement d’un logiciel enregistreur de saisies au clavier était prévu par les attaquants. Mais il n’a pas eu lieu.

Comme pour les précédents, l’opération MediaGet apparaît minutieusement planifiée. Selon Microsoft, la compromission du mécanisme de mise à jour s’est déroulée entre le 12 et le 18 février derniers. La distribution de maliciels a commencé le 1 mars, avant de devenir massive cinq jours plus tard.