Posté le septembre 1, 2022 à 8:07
DES HACKERS CACHENT DES LOGICIELS MALVEILLANTS DANS DES IMAGES SPATIALES PRISES PAR LE TÉLESCOPE SPATIAL JAMES WEBB
Selon des rapports, un mauvais acteur a caché des logiciels malveillants sur des ordinateurs Windows dans une image prise par le télescope spatial James Webb.
Actuellement, les programmes antivirus sont incapables de détecter l’image chargée de logiciels malveillants, ce qui la rend très puissante et dangereuse. Le logiciel malveillant est écrit en Golang, un langage de programmation qui a gagné en popularité parmi les acteurs de menaces en raison de sa multiplateforme.
La société de cybersécurité Seuronix, qui a obtenu un échantillon du programme, a déclaré que l’acteur de la menace cible les victimes par le biais d’e-mails de phishing contenant des documents de bureau malveillants. Le document est conçu par les opérateurs pour implanter le logiciel malveillant sur le système de la cible. Le processus comprend également une image prise par le James Web Space Telescope, selon Securonix.
L’image est un fichier jpg et a l’apparence physique de la photo populaire de la région de l’espace connue sous le nom de SMACS 0723. Cette photo a été prise au début de l’année par le télescope spatial.
Cependant, Securonix a déclaré que le fichier infesté de logiciels malveillants contient un code informatique caché, qui peut devenir visible lorsqu’un éditeur de texte est utilisé pour inspecter l’image.
L’image contient un code Base64 malveillant
Dans un billet de blog publié par Securonix, les chercheurs en sécurité ont noté qu’un code Base64 malveillant a été placé sur l’image. Le code se présente comme un certificat inclus, mais vole les données des utilisateurs une fois installé.
Le code informatique caché est le principal élément constitutif du logiciel malveillant principal. L’attaque décrypte le code informatique du fichier image en un programme Windows 64 bits connu sous le nom de msdllupdate.exe. Celui-ci peut ensuite être exécuté sur le système Windows.
D’après l’analyse effectuée par Securonix, le logiciel malveillant tente également de persister sur le système affecté. Pour ce faire, il implante un programme binaire dans la clé d’exécution du registre de Windows.
Cette action peut forcer le système à lancer le logiciel malveillant à chaque démarrage du système. De plus, de par sa conception, le logiciel malveillant reçoit des commandes et communique avec le serveur de commande et de contrôle (C2) de l’acteur malveillant. Ainsi, le logiciel malveillant permet aux hackers de prendre le contrôle d’un système infecté à distance.
Les images ont déjà été utilisées pour implanter des logiciels malveillants par le passé
Les acteurs de la menace ont déjà utilisé des images pour implanter des logiciels malveillants par le passé, ce qui n’est pas forcément une surprise pour les observateurs. Les chercheurs en sécurité n’ont cessé de découvrir des acteurs de la menace utilisant des images pour dissimuler leurs infections par des logiciels malveillants. Dans certains cas, ils peuvent s’en servir pour s’associer à des programmes malveillants.
Cependant, Securonix a noté que les fichiers malveillants ont une puissance d’attaque limitée. Ils ne peuvent lancer leur attaque que lorsque les « processeurs enfant » et les macros sont activés pour les produits Office.
Sinon, les tactiques des acteurs de la menace ne pourront pas s’exécuter automatiquement. Securonix a également fourni d’autres recommandations sur les moyens de détecter et d’arrêter une attaque.
Les binaires Go présentent l’avantage supplémentaire de rendre la rétro-ingénierie beaucoup plus difficile par rapport aux logiciels malveillants écrits dans d’autres langues.
Par ailleurs, les e-mails de phishing contenant des pièces jointes Microsoft Office peuvent servir de point d’entrée à la chaîne d’attaque. Une fois ouverte, la pièce jointe crée un VBA obfusqué qui peut être exécuté automatiquement lorsque la cible active les macros.
Le binaire, qui est un exécutable Windows 64 bits, a une taille de 1,7 Mo. Il n’est pas seulement conçu pour rester caché des moteurs anti-logiciels malveillants, mais il peut être masqué par une technique connue sous le nom de gobfuscation. Cette technique utilise un outil d’obfuscation Golang qui est disponible au public sur GitHub.
Les auteurs de la menace Chachi utilisent également la bibliothèque Gobfuscate
Les chercheurs de Securonix ont également noté que la bibliothèque Gobfuscate avait déjà été utilisée par les hackers à l’origine du cheval de Troie d’accès à distance ChaChi, déployé par les opérateurs de PYSA. Les acteurs de la menace utilisent la bibliothèque dans le cadre de leur structure C2 et dans leur boîte à outils.
En outre, les acteurs de la menace veillent à maintenir la communication avec le logiciel malveillant par le biais de requêtes et de réponses DNS cryptées. Cela permet au logiciel malveillant de suivre les commandes transmises par l’invite de commande Windows. Selon le rapport, le domaine C2 de la campagne a été enregistré en mai de cette année.
De nombreux acteurs de menaces mettent actuellement à jour leurs campagnes suite à la décision de Microsoft de bloquer les macros par défaut dans les applications Office. Aujourd’hui, la plupart des adversaires se sont tournés vers les fichiers ISO et les faux LINK pour déployer des logiciels malveillants.
Les acteurs de GO#WEBBFUSCATOR n’ont pas adopté une méthode d’attaque similaire, mais il est plus que probable qu’ils le fassent à l’avenir.
