Posté le avril 18, 2021 à 18:31
DÉCOUVERTE D’UN NOUVEAU LOGICIEL MALVEILLANT QUI ABUSE DES STOCKAGES CLOUD DE BASECAMP ET SLACK
Les chercheurs en sécurité de Sophos ont découvert deux campagnes de spam malveillant qui ont débuté cette année. Elles ont commencé à cibler les travailleurs à distance dans les grandes entreprises avec des comptes sur les sites Web BaseCamp et Slack pour héberger le logiciel malveillant et livrer les charges utiles.
La deuxième campagne de piratage indique à ses victimes qu’elles seront facturées pour un service en ligne et leur dit d’appeler un numéro où elles recevront un lien web qui les dirigera vers le logiciel malveillant.
Les attaquants ciblent les utilisateurs de BaseCamp et de Slack, avec le nom de leur entreprise intégré dans le message.
Selon Sophos, les attaquants affirment que les messages contiennent des informations vitales, notamment des demandes du service client, des factures, des contrats, des fiches de paie et même des notifications de licenciement dans certains cas.
La deuxième campagne de logiciel espion est appelée « BazarCall », et les acteurs malveillants ont ajouté un élément d’appel vocal à la série d’attaques.
Il fonctionne en téléchargeant et en exécutant des modules supplémentaires. La première observation de BazarLoader remonte à avril de l’année dernière, mais Sophos a observé 6 variantes supplémentaires depuis, ce qui indique un développement actif et continu. Récemment, il a été utilisé par le groupe Ryuk comme logiciel malveillant relais.
BazarLoader pourrait potentiellement être utilisé pour monter une attaque de ransomware ultérieure », selon le communiqué de sécurité de Sophos.
BazarLoader lié aux opérateurs de TrickBot
Selon les informations dont disposent les chercheurs, le logiciel malveillant BazarLoader pourrait être l’auteur ou être lié aux opérateurs de TrickBot.
Les logiciels malveillants TrickBot et BazarLoader utilisent tous deux certains des outils de commande et de contrôle, comme l’ont observé les chercheurs de Sophos. Un échantillon de spam s’est déguisé en une notification indiquant que le travailleur a été licencié.
Les liens contenus dans l’e-mail étaient hébergés sur le stockage en nuage de BaseCamp ou de Slack, ce qui signifie qu’ils pourraient sembler authentiques si leur cible travaille dans une organisation qui utilise l’une de ces plateformes.
Les acteurs malveillants ont montré l’URL de lien vers l’un des sites Web authentiques dans le corps du document, ce qui lui confère un certain niveau de crédibilité. Sophos a révélé que les URL peuvent être camouflés par l’utilisation d’un service de raccourcissement d’URL.
Le logiciel malveillant n’est pas facile à détecter
Lorsque l’utilisateur clique sur le lien malveillant, il télécharge à son insu le logiciel malveillant BazarLoader, qui s’exécute automatiquement dans le système de la cible. Le lien pointe directement vers des graphiques Adobe PDF, signés numériquement sous forme d’icône, et perpétuant la ruse avec des noms tels que preview-document et presentation-document.exe.
Lorsque les fichiers exécutables sont exécutés, ils implantent une charge utile DLL dans le processus légitime, tel que cmd.exe et la commande shell de Windows.
Autre élément inquiétant, le logiciel malveillant ne peut pas être détecté par les analyses de l’outil de protection des terminaux. Cela est dû au fait qu’il n’est pas écrit dans un système de fichiers. De plus, les fichiers n’utilisent pas un suffixe de fichier .DLL authentique.
La deuxième campagne de logiciels malveillants ne laisse rien de suspect, ce qui la rend très difficile à détecter. Aucun fichier n’est joint, aucun lien, aucune information personnelle ou autre n’est inclus dans le corps du message.
Selon le message, il propose un service gratuit pour un service en ligne et indique au destinataire que le service expirera le lendemain.
Les hackers fournissent un site Web d’apparence professionnelle qui dissimule un bouton de désabonnement dans sa section FAQ.
C’est là que le groupe de campagne exerce son opération, puisque le BazarLoader est implanté via un document officiel dans le système de la victime.
Le message est censé provenir d’une société connue sous le nom de Medical Reminder Service, avec un numéro de téléphone intégré dans le corps du message. Il contient également l’adresse d’un immeuble de bureaux situé à Log Angeles.
Cependant, le mois dernier, les messages ont ajouté une fausse bibliothèque de prêt en ligne connue sous le nom de BookPoint.
L’objet du message tournait autour de BookPoint, avec un long code ou un numéro de référence pour les utilisateurs qui souhaitent se désabonner.
Les attaquants ont été très efficaces en ce qui concerne la puissance de l’attaque. En effet, selon Sophos, ils invoquent des commandes qui exécutent davantage de DLL de charge utile.
