Posté le septembre 11, 2019 à 21:22
LA MISE À JOUR RÉCENTE DE PSIXBOT CONTIENT UN KIT D’EXPLOITATION SEXUELLE DANGEREUX ET UN DNS OVER HTTPS DE GOOGLE
PsiXBot est une forme de logiciel malveillant que les hackers utilisent pour voler des informations et des cryptomonnaies. Une nouvelle variante de celle-ci a été identifiée et elle cible le protocole DNS over HTTPS de Google, ce qui pourrait affecter un nombre important d’utilisateurs.
Le logiciel malveillant PsiXBot est relativement nouveau dans le paysage de la sécurité en ligne depuis son apparition, il y a deux ans. Le code dangereux est écrit en .NET et a évolué plusieurs fois. Pour les chercheurs et les spécialistes de Proofpoint, la dernière version présente des aspects intéressants, en particulier des modifications par rapport aux versions antérieures.
Associé à des crypto-monnaies
La nouvelle cybermenace est généralement livrée via un réseau de robots collecteurs de mails et, en outre, comme charge utile dans les exploits kits comme le Spleevo et le RIG-v par exemple. Le logiciel malveillant a pour but d’affecter les personnes non russes.
Le logiciel malveillant PsiXBot a été lié par le passé à des sites .bit liés à NameCoin, une crypto-monnaie nécessitant des configurations de serveur DNS très spécifiques. PsiXBot est également connu pour utiliser des codes de couleur hexagonaux pour les liens tiny.cc afin de faire des requêtes DNS pour différents serveurs C2. Ces serveurs de commande et contrôle provoqueront une infection en envoyant une commande qui commence par une procédure de vérification du système.
Une machine doit être capable d’être infectée pour que les modules malveillants puissent être exécutés. Parmi eux, il y a le processus de surveillance du presse-papiers pour les données de connexion utilisées pour les portefeuilles cryptographiques qui contiennent Monero, Bitcoin, Ripple et Ethereum, ainsi que le keylogger, le voleur de cookies et le voleur de mots de passe.
Cette menace de sécurité est en outre capable de voler des données et des informations que les personnes soumettent via des formulaires en ligne et peut également envoyer des campagnes de spam par le biais de la ressource Microsoft Outlook, à partir de l’adresse de messagerie de l’utilisateur ciblé. Le PsiXBot supprimera également tous les indices ou preuves possibles d’emails dangereux sortants et pourra se sortir d’un réseau infecté.
Proofpoint a expliqué dans une publication parue sur son site ces derniers jours que la menace PsiXBot a de nouvelles fonctionnalités dans sa dernière version, la v.1.0.3 : elle vient avec la fonctionnalité DNS over HTTPS (DoH) de Google, qui est un protocole connu dans l’industrie pour présenter les requêtes DNS comme des informations HTTPS protégées et non comme du texte clair.
Cette nouvelle approche est de plus en plus utilisée par de nombreuses entités qui se couvrent comme charges utiles dans les unités exploitables mentionnées. La nouvelle technique implique que les domaines C2 sous la pratique du codage dur sont résolus avec le service DNS sur HTTPS (DoH) mentionné.
Dissimulation de la requête DNS sur les domaines C&C derrière HTTPS
Selon Proofpoint, en mettant en œuvre le service DoH de Google, les cybercriminels et les attaquants peuvent dissimuler la requête DNS mentionnée au domaine de commande et de contrôle situé derrière le protocole HTTPS. Ils ont ajouté que les requêtes DNS adressées au serveur C&C ne seront pas remarquées à moins que le protocole Secure Sockets Layer / Transport Layer Security soit détecté par un intercepteur ou Man in the Middle.
De plus, les chercheurs ont découvert que les nouveaux échantillons révélaient un changement dans les ressources disponibles de Fast Flux, qui utilisait des réseaux d’hôtes violés pour modifier les entrées DNS. La structure a été trouvée dans les réponses du domaine de commande et contrôle via les deux types de requêtes; la DNS standard et la DoH.
La menace a également une ressource d’attaque innovante. Le logiciel, appelé «PornModule», est probablement mis en œuvre à des fins d’exploitation sexuelle. Selon les chercheurs, PornModule peut surveiller les fenêtres actuellement ouvertes, comparer les mots-clés à une liste existante et rechercher des correspondances. Dans le cas où il en détecte un, le logiciel malveillant mentionné commence à enregistrer des données.
Un outil d’extorsion et d’exploitation sexuelle
Le matériel enregistré est peut-être utilisé comme une ressource pour faire chanter et extorquer des personnes qui, naturellement dans des circonstances potentiellement compromettantes, ne souhaitent pas que les informations soient rendues publiques.
Les hackers et les cybercriminels recherchent en permanence des logiciels malveillants capables de les aider à extorquer des victimes, à collecter et à voler des informations et à accéder à la «monnaie numérique», de plus en plus précieuse, de crypto-monnaies. Ceux qui ont créé PsiXBot ont lancé une menace très puissante et continueront probablement à la peaufiner pour en ajouter davantage de fonctionnalités. Proofpoint explique que le logiciel malveillant est en cours de développement et d’amélioration. Les cybercriminels cherchent à étendre ses fonctionnalités pour qu’il acquière davantage de capacités afin de menacer de faire d’Internet un endroit beaucoup plus dangereux que jamais.
