Posté le janvier 3, 2023 à 7:04

LES CHERCHEURS DÉTECTENT UNE NOUVELLE CAMPAGNE DE PHISHING UTILISANT DES DONNÉES BANCAIRES VOLÉES

Des chercheurs en cybersécurité ont détecté une nouvelle campagne de logiciels malveillants. Cette campagne utilise des informations sensibles volées à des banques pour envoyer des e-mails de phishing contenant un cheval de Troie d’accès à distance connu sous le nom de BitRAT.

Des hackers envoient des e-mails de phishing en utilisant des données bancaires volées

L’acteur de la menace qui a utilisé cette technique de piratage a obtenu un accès non autorisé à l’infrastructure informatique d’une banque coopérative en Colombie. Le hacker a utilisé les informations obtenues auprès de la banque pour créer des messages trompeurs mais convaincants qui incitent les victimes à ouvrir des pièces jointes Excel contenant un lien suspect.

Les résultats de cette recherche confirment également la découverte faite par la société de cybersécurité Qualys. La société a découvert des preuves d’un vidage de base de données comprenant 418 777 données. Le vidage de la base de données aurait été effectué après que des failles d’injection SQL aient été exploitées.

Parmi les informations auxquelles le hacker a pu accéder grâce à cet exploit figurent les numéros de Cédula. La Cédula est un document d’identité national qui est normalement délivré aux citoyens basés en Colombie. Outre les numéros Cédula, le hacker a également pu accéder aux numéros de téléphone, aux adresses électroniques, aux noms des clients, aux informations sur les salaires, aux enregistrements des paiements et aux adresses physiques.

Rien ne permet de confirmer que les informations volées ont été précédemment partagées dans un forum de hackers sur le darknet. Cela indique que les acteurs de la menace ont obtenu l’accès aux données des clients et les ont ensuite utilisées pour mener des campagnes de phishing.

Le fichier Excel contenant les coordonnées bancaires volées est intégré à une macro généralement utilisée pour télécharger la charge utile DLL de deuxième phase. Le fichier est configuré pour accéder au logiciel malveillant BitRAT et l’exécuter sur l’appareil de l’utilisateur compromis.

Akshat Pradhan, chercheur en cybersécurité chez Qualys, note que le logiciel malveillant utilise la bibliothèque WinHTTP pour télécharger des charges utiles intégrées à BitRAT. Ces charges utiles sont téléchargées depuis GitHub avant d’être envoyées dans le répertoire temp.

Le dépôt GitHub a été créé en novembre de l’année dernière pour télécharger les charges utiles. Il est utilisé pour héberger des échantillons de chargeurs BitRAT cachés qui ont été décodés et lancés pour compléter la chaîne d’infection.

BitRAT est classé comme un logiciel malveillant prêt à l’emploi, disponible à la vente sur les forums de hackers. Le logiciel malveillant peut être acheté pour aussi peu que 20 $, mais il est livré avec de multiples fonctions, telles que le vol de données, la récolte d’identifiants d’utilisateurs, le minage de crypto-monnaies et le téléchargement de binaires supplémentaires.

Selon M. Pradhan, « les RAT commerciaux ont évolué dans leur méthodologie de diffusion et d’infection de leurs victimes. Ils ont également augmenté l’utilisation d’infrastructures légitimes pour héberger leurs charges utiles, et les défenseurs doivent en tenir compte. »

Les exploits dans l’espace financier persistent

Bien que cet exploit visant directement les banques soit un scénario majeur, les exploits dans l’industrie financière ont été significativement élevés. Les acteurs de la menace sont constamment à la recherche de logiciels malveillants pouvant être utilisés pour exploiter le secteur financier sans être détectés.

En Europe, les secteurs de la finance et de l’assurance ont été ciblés par le ver Raspberry Robin. Ce logiciel malveillant a considérablement évolué, ses capacités changeant à chaque nouvelle exploitation. Le logiciel malveillant est également capable de fonctionner sans être détecté.

Security Joe a publié un rapport détaillant la nouvelle façon dont les acteurs de la menace utilisent le logiciel malveillant. Le rapport note que le logiciel malveillant est unique car il est « fortement obscurci et très complexe à désassembler de manière statique ».

Les exploits de piratage ont ciblé des organisations en Espagne et au Portugal. Ces organisations ont la réputation de collecter des données à partir de la machine de la victime, malgré la documentation antérieure sur ce sujet. En outre, le logiciel malveillant a montré des signes d’utilisation d’une technologie sophistiquée pour résister à l’analyse.

Le logiciel malveillant Raspberry Robin est aussi connu sous le nom de ver QNAP. Ce logiciel malveillant est utilisé par des acteurs de la menace pour accéder à des réseaux cibles. Le logiciel malveillant se propage par le biais de périphériques USB infectés et d’autres méthodes. Les acteurs de la menace qui utilisent ce logiciel malveillant ont également mis au point un cadre qui peut être utilisé dans des attaques visant le gouvernement et l’industrie des télécommunications.

Le logiciel malveillant utilise un téléchargeur de shellcode qui a été conçu pour sécuriser des exécutables supplémentaires. Toutefois, le téléchargeur a fait l’objet d’importantes mises à jour qui lui permettent de profiler les victimes pour leur transmettre les charges utiles appropriées. Dans certains cas, le logiciel malveillant peut également tromper les victimes ciblées en envoyant de faux logiciels malveillants.

Felipe Duarte, un chercheur en matière de menaces, a noté que « non seulement nous avons découvert une version du logiciel malveillant qui est bien plus complexe, mais nous avons aussi constaté que le balisage C2, qui avait l’habitude d’avoir une URL avec un nom d’utilisateur et un nom d’hôte en texte clair, a maintenant une charge utile chiffrée RC4 robuste. »