Aurora : attention à ce malware caché derrière les liens YouTube

Attention aux liens sur lesquels vous cliquez dans les descriptions de vidéos YouTube ! Des pirates s'en servent pour diffuser un malware du nom d'Aurora, qui vole les informations personnelles dans l'appareil infecté.

Les cybercriminels ne reculent devant rien pour diffuser leurs logiciels malveillants et dérober toutes sortes d'informations sensibles. Depuis quelque temps, ils utilisent YouTube comme canal de distribution pour leurs malwares. D'ailleurs, une campagne de phishing particulièrement ingénieuse à propos d'une mise à jour des conditions d'utilisation de la plateforme a actuellement lieu (voir notre article). Des chercheurs de la société Morphisec ont également découvert sur YouTube la propagation d'un loader – un programme dont la fonction est d'en charger d'autres – nommé "in2al5d p3in4er" – se lit "invalid printer" –, dont l'objectif est de déployer le célèbre malware Aurora. Ce dernier est un cheval de Troie qui subtilise les informations de l'appareil infecté, notamment les identifiants enregistrés dans les navigateurs et dans le système, mais aussi le contenu des portefeuilles de cryptomonnaie.

Aurora : un cheval de Troie particulièrement populaire

Si le marché des stealers a longtemps été dominé par deux malwares particulièrement populaires, à savoir Redline et Racoon, un troisième acteur est apparu silencieusement en 2022 et s'est rapidement imposé dans le milieu des hackers criminels : le malware Aurora. Au début, il s'agissait d'un botnet polyvalent – il servait par exemple à perturber et à attaquer des sites – avant qu'il ne se "spécialise" dans le vol d'informations. Pour se diffuser, il passe par de faux sites, les réseaux sociaux ou les plateformes de diffusion et de partage de vidéos, comme YouTube.

Des faux sites suite à la redirection par une vidéo YouTube © Morphisec

On le trouve généralement en vente sur des forums spécialisés sur Dark Web pour la somme de 250 dollars par mois ou 1 500 euros à vie – oui, le marché de la cybercriminalité fonctionne également avec des abonnements. Il est très apprécié par ceux qui cherchent à pirater des comptes et des portefeuilles de cryptomonnaies.

Aurora : un malware déguisé en application légitime

Pour commencer, les cybercriminels prennent le contrôle de comptes YouTube populaires pour y publier des vidéos contenant dans leur description des liens vers des sites Web frauduleux. Les vidéos sont crédibles, avec des vignettes de qualité. Pour accroitre leur visibilité, les pirates n'hésitent pas à utiliser des balises d'optimisation pour les moteurs de recherche (SEO) afin qu'elles soient mieux classées dans les résultats de recherche. C'est le cas de la chaine Abu Ali poultry, qui propose des vidéos pour obtenir des versions piratées de Adobe Audition ou de Adobe Animate et qui cumulent plusieurs centaines de vues en seulement quelques heures.

Lorsque la victime clique sur le lien en description, elle est redirigée vers un site leurre où elle est invitée à télécharger le logiciel promis dans la vidéo. Ces sites leurres sont identiques aux sites originaux, avec des URL, des logos et des marques similaires pour être le plus convaincant possible. Ils peuvent même avoir recours au ciblage géographique pour fournir un contenu basé sur la géolocalisation de la victime. Bien évidemment, cette dernière télécharge en réalité un loader qui installe Aurora.

Le loader pour télécharger Aurora est compilé avec l'application Embarcadero RAD Studio afin d'être plus difficilement détectable grâce à une technique dite "anti-machine virtuelle" avancée. Une fois installé, le stealer fouille les dossiers des navigateurs jusqu'à tomber sur des fichiers qui l'intéressent, comme un gestionnaire de mots de passe à tout hasard. Il va ensuite les extraire et les envoyer sur un serveur externe, donnant tout le loisir aux cybercriminels de revendre les données dérobées ou de se connecter aux différents comptes pour usurper l'identité de la victime ou dérober de l'argent. C'est pourquoi il faut faire preuve de prudence lorsque l'on clique sur des liens, y compris sur YouTube, surtout s'il s'agit d'un contenu peu visionné aux promesses alléchantes, comme l'accès gratuit à un logiciel payant via un exécutable. En général, c'est trop beau pour être vrai...