Source: DomainTools (DTI) — Dans une analyse récente, DTI détaille une opération cybercriminelle à grande échelle ayant mis en ligne plus de 80 domaines usurpés depuis septembre 2024 pour distribuer des malwares Android et Windows orientés vers le vol d’identifiants. La campagne se distingue par une approche marketing (pixels Facebook et tracker Yandex) pour mesurer l’efficacité et les conversions, une sophistication technique modeste mais une échelle opérationnelle élevée grâce à des sites modèles et une rotation d’infrastructures.
Les leurres d’ingénierie sociale incluent des sites fiscaux gouvernementaux, des marques financières et services (USAA, PMC, Bloomberg, Binance), du contenu 18+, et des utilitaires Windows. Les cibles principales sont les utilisateurs recherchant du contenu « exclusif/interdit », les clients de services financiers, et les personnes téléchargeant des outils système. 🎯
Côté infrastructure, les acteurs s’appuient sur BL Networks, H2nexus Ltd et H2.nexus Frankfurt Network. Les domaines sont enregistrés via PDR Ltd. et GMO Internet Inc., avec des emails de registrant communs (fviainboxes[.]com, dropjar[.]com, replyloop[.]com). L’écosystème montre un clustering via des TLD récurrents (.pro, .shop, .com, .icu, .top) et un serveur de noms regway[.]com, facilitant le rattachement des actifs. 🕸️
La livraison a évolué: de téléchargements APK directs (juin 2025) à des URLs obscurcies avec encodage excessif (%20) pour contourner la détection. Les trojans Windows sont servis via de faux sites « Microsoft Installation Assistant » (ex: ms32-download[.]pro), tandis que l’Android malware se propage via de fausses apps TikTok, YouTube et de jeux d’argent. 🔄
IOCs principaux:
- Domaines/NS: ms32-download[.]pro; regway[.]com
- Emails de registrant: fviainboxes[.]com; dropjar[.]com; replyloop[.]com
- Trackers: Facebook Pixel IDs 1354988235984551, 690114973584418, 1327164645166821; Yandex 97105740
- Hashs (SHA256):
- EXE Windows: 3767140145cef85204ddec1285f5dc8544bfcf8ff22318c11073baaa476385fc
- MSI: 71cd466073bf23b43111dbc68ccaf1064e737f3f9ffebfec9a6f5146af6a34b9
- Infrastructures/Registres: BL Networks; H2nexus Ltd; H2.nexus Frankfurt Network; PDR Ltd.; GMO Internet Inc.
- TLDs liés: .pro, .shop, .com, .icu, .top
TTPs observés:
- Usurpation de domaines et thèmes d’ingénierie sociale (gouvernement, finance, contenu adulte, utilitaires)
- Livraison de malwares via faux assistants d’installation Microsoft et fausses apps Android (TikTok/YouTube/jeux)
- Obfuscation d’URL par encodage (%20) pour évasion de détection
- Suivi marketing via pixels Facebook et Yandex pour mesurer conversions
- Rotation d’infrastructure et sites modèles pour déploiement rapide
Il s’agit d’une analyse de menace visant à documenter la campagne, son infrastructure, ses tactiques et ses indicateurs techniques. 🔎
🧠 TTPs et IOCs détectés
TTPs
[‘Usurpation de domaines’, ‘Ingénierie sociale (gouvernement, finance, contenu adulte, utilitaires)’, ‘Livraison de malwares via faux assistants d’installation Microsoft’, ‘Livraison de malwares via fausses apps Android (TikTok/YouTube/jeux)’, ‘Obfuscation d’URL par encodage (%20) pour évasion de détection’, ‘Suivi marketing via pixels Facebook et Yandex pour mesurer conversions’, ‘Rotation d’infrastructure et sites modèles pour déploiement rapide’]
IOCs
{‘domains’: [‘ms32-download.pro’, ‘regway.com’], ’emails’: [‘fviainboxes.com’, ‘dropjar.com’, ‘replyloop.com’], ’trackers’: [‘Facebook Pixel IDs: 1354988235984551, 690114973584418, 1327164645166821’, ‘Yandex: 97105740’], ‘hashes’: {’exe_windows’: ‘3767140145cef85204ddec1285f5dc8544bfcf8ff22318c11073baaa476385fc’, ‘msi’: ‘71cd466073bf23b43111dbc68ccaf1064e737f3f9ffebfec9a6f5146af6a34b9’}, ‘infrastructure’: [‘BL Networks’, ‘H2nexus Ltd’, ‘H2.nexus Frankfurt Network’, ‘PDR Ltd.’, ‘GMO Internet Inc.’], ’tlds’: [’.pro’, ‘.shop’, ‘.com’, ‘.icu’, ‘.top’]}
🔗 Source originale : https://dti.domaintools.com/securitysnack-18e-crime/
🖴 Archive : https://web.archive.org/web/20251003174418/https://dti.domaintools.com/securitysnack-18e-crime/