Des chercheurs ont découvert une campagne importante où un logiciel publicitaire signé numériquement a été utilisé pour déployer des charges utiles s'exécutant avec des privilèges SYSTEM, désactivant ainsi efficacement les protections antivirus sur des milliers de points d'extrémité. Ces points d'extrémité couvrent divers secteurs, notamment l'éducation, les services publics, le gouvernement et la santé. En une seule journée, les chercheurs ont observé plus de 23 500 hôtes infectés dans 124 pays tentant de se connecter à l'infrastructure de l'opérateur, avec des centaines de points d'extrémité infectés présents au sein de réseaux à haute valeur. ### Plus que du simple logiciel publicitaire Les chercheurs en sécurité de **Huntress** ont découvert la campagne le 22 mars, notant que des exécutables signés, classés comme programmes potentiellement indésirables (PUP), déclenchaient des alertes dans plusieurs environnements gérés. Les PUP sont généralement considérés comme une nuisance, générant principalement des revenus grâce à la publicité. Cependant, cette campagne démontre une évolution plus sinistre. Le logiciel était signé par une société appelée **Dragon Boss Solutions LLC**, que Huntress affirme être impliquée dans la « recherche de monétisation de recherche » et promouvoir divers outils tels que **Chromstera Browser**, **Chromnius**, **WorldWideWeb**, **Web Genius** et **Artificius Browser**. Ces outils sont souvent signalés comme des PUP par les solutions de sécurité.  Au-delà des désagréments habituels des publicités et des redirections, ces navigateurs disposent d'un mécanisme de mise à jour avancé qui déploie un tueur d'antivirus. ### Désactivation de la sécurité Huntress a découvert que l'opération exploitait le mécanisme de mise à jour de l'outil auteur commercial **Advanced Installer** pour déployer des charges utiles MSI et PowerShell. Le fichier de configuration du processus de mise à jour révélait des indicateurs indiquant une opération complètement silencieuse sans interaction utilisateur. Les charges utiles ont été installées avec des privilèges élevés (SYSTEM), empêchant les utilisateurs de désactiver les mises à jour automatiques et de vérifier fréquemment les nouvelles mises à jour. Le processus de mise à jour récupère une charge utile MSI (Setup.msi) déguisée en image GIF, qui est signalée comme malveillante sur **VirusTotal** par un nombre limité de fournisseurs de sécurité. Cette charge utile MSI inclut des DLL légitimes utilisées par Advanced Installer pour des tâches telles que l'exécution de scripts PowerShell et l'identification de logiciels spécifiques. Les instructions pour l'installateur sont contenues dans un fichier séparé nommé '<em>!_StringData</em>'. Avant de déployer la charge utile principale, l'installateur MSI effectue une reconnaissance, vérifiant le statut d'administrateur, détectant les machines virtuelles, vérifiant la connectivité Internet et interrogeant le registre pour les produits antivirus (AV) installés de **Malwarebytes**, **Kaspersky**, **McAfee** et **ESET**. Ces produits de sécurité sont ensuite désactivés à l'aide d'un script PowerShell nommé <em>ClockRemoval.ps1</em>. .jpg) Le script *ClockRemoval.ps1* s'exécute au démarrage du système, à la connexion et toutes les 30 minutes, garantissant que les produits AV sont supprimés en arrêtant les services, en tuant les processus, en supprimant les répertoires d'installation et les entrées de registre, en exécutant silencieusement les désinstallateurs des fournisseurs et en supprimant de force les fichiers lorsque les désinstallateurs échouent. Le script bloque également les domaines des fournisseurs en modifiant le fichier hosts et en les routant en mode null (redirection vers 0.0.0.0), empêchant la réinstallation ou les mises à jour des produits de sécurité. Lors de l'analyse, Huntress a constaté que l'opérateur n'avait pas enregistré le domaine de mise à jour principal (<em>chromsterabrowser[.]com</em>) ni le domaine de secours (<em>worldwidewebframework3[.]com</em>). Cela leur a permis de détourner la connexion des hôtes infectés. En enregistrant le domaine de mise à jour principal, Huntress a observé « des dizaines de milliers de points d'extrémité compromis se connecter à la recherche d'instructions qui, entre de mauvaises mains, auraient pu être n'importe quoi ». Sur la base des adresses IP, les chercheurs ont identifié 324 hôtes infectés dans des réseaux à haute valeur : * 221 établissements universitaires en Amérique du Nord, en Europe et en Asie * 41 réseaux de technologie opérationnelle dans les secteurs de l'énergie et des transports, et chez les fournisseurs d'infrastructures critiques * 35 municipalités, agences d'État et services publics * 24 établissements d'enseignement primaire et secondaire * 3 organisations de santé (systèmes hospitaliers et prestataires de soins de santé) * Réseaux de plusieurs entreprises du Fortune 500 Les tentatives de BleepingComputer pour contacter Dragon Boss Solutions ont échoué car leur site n'est plus opérationnel. Huntress avertit que bien que l'outil agisse actuellement comme un tueur d'AV, le mécanisme pourrait introduire des charges utiles beaucoup plus dangereuses. Ils recommandent aux administrateurs système de rechercher des abonnements d'événements WMI contenant « MbRemoval » ou « MbSetup », des tâches planifiées faisant référence à « WMILoad » ou « ClockRemoval », et des processus signés par Dragon Boss Solutions LLC. De plus, examinez le fichier hosts pour les entrées bloquant les domaines des fournisseurs d'AV et vérifiez les exclusions de **Microsoft Defender** pour les chemins suspects tels que « DGoogle », « EMicrosoft » ou « DDapps ».