Des chercheurs en sécurité ont lié un service VPN populaire à une opération à grande échelle qui a peut-être passé des années à transformer les ordinateurs des gens en serveurs proxy résidentiels à leur insu.
Lel'enquête a commencéavec une fausse version du logiciel populaire 7-Zip. Mais en creusant plus profondément, les chercheurs ont découvert quelque chose de bien plus important. Ils ont trouvé des centaines de sites Web connectés, de systèmes partagés et d’échantillons de logiciels malveillants qui semblaient tous appartenir à la même opération.
Les chercheurs suivent désormais la campagne sous le nom de Lurking Lizard. Ils pensent que le groupe est actif depuis au moins 2022. Selon leurs conclusions, WireVPN est la dernière marque publique liée à l'opération.
L’équipe affirme que le groupe contrôle presque toutes les parties du projet. Il diffuse de faux logiciels, infecte les appareils, puis vend l'accès à ces connexions Internet infectées via un réseau proxy résidentiel.
Des chercheurs relient une fausse campagne logicielle à WireVPN
L'enquête a commencé après que les chercheurs ont examiné un faux programme d'installation distribué via le domaine 7zip[.]com. L'adresse semblait presque identique à celle du vrai site Web 7-Zip. C'est l'astuce du typosquatting. Cela incite les gens à télécharger des logiciels à partir du mauvais site Web.
Les faux sites Web constituent un problème mondial. Il n'y a pas si longtemps,Arrêt de l'opération Alice373 000 faux sites du dark net dans le cadre d’une répression policière internationale coordonnée.
Au lieu de détecter une seule campagne de malware, les chercheurs ont découvert un réseau beaucoup plus vaste. Leur enquête a connecté plus de 230 domaines à l'aide d'enregistrements DNS, d'informations WHOIS, d'API partagées, d'échantillons de logiciels malveillants et de systèmes backend courants. Ces liens pointaient vers une opération unique qui n’a cessé de croître pendant des années.
Les chercheurs ont également découvert un indice clé caché à l'intérieurplusieurs échantillons de logiciels malveillants. Les programmes malveillants contenaient une adresse IPLogger codée en dur. Cette seule information a aidé les enquêteurs à relier plusieurs campagnes plus anciennes.
Selon les chercheurs, la même infrastructure est apparue dans les faux téléchargeurs TikTok, les faux téléchargeurs YouTube, les campagnes VPN antérieures et le fonctionnement actuel de WireVPN. Ils pensent que ces résultats relient près de quatre années d’activité au sein d’un seul groupe.
Les chercheurs ont également remarqué une autre tendance inquiétante. Les personnes derrière l’opération ont créé des sites Web qui ressemblaient à des services proxy bien connus. Certains de ces faux sites copiaient des marques telles que Smartproxy, IPIDEA, IPRoyal et 911Proxy. Le groupe exploitait également de faux sites Web d’avis qui semblaient conçus pour pousser les visiteurs vers ces services.
La version Windows montre des signes d'activité de proxy résidentiel
Les chercheurs affirment que WireVPN ne s’est pas comporté comme un VPN normal lors des tests. Un VPN typique crée un tunnel sécurisé entre l'appareil d'un utilisateur et un serveur VPN. WireVPN a agi différemment. Au lieu de communiquer avec un serveur VPN, le logiciel Windows a contacté de nombreux domaines contrôlés par WireVPN ainsi que plusieurs systèmes non liés.
Selon les chercheurs, la structure du trafic suggère que les ordinateurs concernés pourraient devenir des points de sortie pour le trafic Internet appartenant à d’autres personnes. En termes simples, des acteurs malveillants peuvent louer la connexion Internet de quelqu’un sans son consentement. Le logiciel Windows a également effectué plusieurs actions couramment observées dans les logiciels malveillants.
Les chercheurs ont découvert qu'il installait des fichiers nommés wire.exe et upwire.exe dans les dossiers système Windows. Il a également créé des exceptions de pare-feu Windows à l'aide de netsh, modifié les paramètres du registre Windows pour rester actif après un redémarrage, collecté des informations système et vérifié si les chercheurs en sécurité essayaient de les examiner.
L’équipe a noté que ces méthodes ressemblent beaucoup à celles utilisées lors de la précédente fausse campagne 7-Zip. Ce malware antérieur installait des fichiers presque identiques nommés hero.exe et uphero.exe, ce qui suggère que les deux campagnes pourraient provenir des mêmes développeurs.
Il est disponible sur Windows, macOS, Android et iOS. La version Windows comporte un certificat de signature de code valide délivré à WEILAI NETWORK TECHNOLOGY CO., LIMITED. Les chercheurs ont également découvert que le même développeur avait publié une version iPhone. Pendant ce temps, la version Android apparaît sous le nom d’éditeur WIRE LTD.
Google Play répertorie actuellement plus d'un million de téléchargements et plus de 34 000 avis d'utilisateurs. Cependant, les chercheurs ont expliqué qu’ils n’avaient pas vérifié ces chiffres de manière indépendante et qu’ils n’avaient pas analysé les versions d’Android ou d’iPhone au cours de cette enquête.
Les preuves indiquent une opération de plus grande envergure
Les chercheurs pensent que Lurking Lizard fait bien plus que propager des logiciels malveillants. Selon leurs conclusions, le groupe semble contrôler l’ensemble du secteur des proxys résidentiels. Il infecte d’abord les appareils. Ensuite, il utilise ces systèmes comme serveurs proxy avant de vendre l'accès aux clients.
L'enquête a également découvert des enregistrements d'enregistrement WHOIS connectés à plusieurs domaines. Certains de ces documents contenaient différentes versions du nom « Cheng Li » ainsi que des coordonnées pointant vers Wuhan, en Chine. Cependant, les chercheurs ont souligné que les mauvais acteurs peuvent facilement falsifier les enregistrements d’enregistrement de domaine. Ils ont déclaré que ces détails ne suffisaient pas à prouver qui était responsable.
Au lieu de cela, ils sont parvenus à leur évaluation après avoir combiné les enregistrements d’enregistrement avec l’infrastructure partagée, les similitudes avec les logiciels malveillants, les connexions de domaine et les preuves techniques recueillies au cours de l’enquête. Sur la base de toutes ces découvertes, les chercheurs pensent que l’opération est probablement dirigée par un acteur menaçant chinois.
Les chercheurs ont également proposé des conseils simples pour rester en sécurité. Ils recommandent de télécharger des VPN, des utilitaires et d’autres logiciels uniquement à partir de sites Web officiels. Les utilisateurs doivent également vérifier attentivement les adresses des sites Web avant d’installer quoi que ce soit, car les attaquants enregistrent souvent des domaines qui ressemblent beaucoup à des domaines légitimes.
Selon les chercheurs, un seul téléchargement erroné peut permettre aux attaquants de contrôler un appareil. Cet appareil peut alors faire partie d’un réseau beaucoup plus vaste à l’insu de son propriétaire. Ce sont toutes les recommandations que nos experts en cybersécurité de PrivacySavvy continuent de faire chaque jour de l’année.
Les découvertes de WireVPN rappellent également que les logiciels promettant la confidentialité ne sont pas toujours fiables. Même les outils de sécurité méritent des vérifications minutieuses avant l’installation. Le téléchargement de programmes à partir de sources officielles reste l’un des moyens les plus simples d’éviter de participer à des opérations cybercriminelles cachées.
