Posté le mai 13, 2021 à 18:06

MICROSOFT MET EN GARDE CONTRE UN NOUVEAU LOGICIEL MALVEILLANT VOLANT DES MOTS DE PASSE, DES WEBCAMS ET DES DONNÉES DE NAVIGATEUR

Les outils open source de Microsoft ont détecté un nouveau logiciel malveillant de type Trojan ciblant les secteurs du fret, des voyages et de l’aviation.

L’outil d’accès à distance (RAT), également connu sous le nom de RevengeRAT, siphonne les données sensibles des utilisateurs par le biais d’e-mails de phishing. Les attaquants utilisent des courriels conçus de manière créative pour inciter les employés du secteur du voyage à ouvrir certains fichiers. Le fichier est déguisé en fichier Adobe PDF, et une fois téléchargé, il charge un fichier Visual Basic malveillant dans le système.

Comment le logiciel malveillant fonctionne-t-il ?

Les courriels de phishing envoient un chargeur qui met en œuvre le logiciel malveillant RevengeRAT ou AsyncRAT. 

Selon Microsoft, « la campagne utilise des courriels qui usurpent l’identité d’organisations légitimes, avec des attraits liés à l’aviation, aux voyages ou au fret. Une image se présentant comme un fichier PDF contient un lien intégré (abusant généralement de services Web légitimes) qui télécharge un VBScript malveillant, lequel dépose les charges utiles du RAT. »

Selon Morphisec, le nouveau service de cryptage est baptisé « Snip3 », d’après un nom d’utilisateur extrait de différentes variantes de logiciels malveillants. Snip3 a été configuré de manière à ce qu’une fois qu’il remarque son exécution sur le Windows Sandbox, le RAT ne se charge pas.

Le Windows Sandbox permet aux utilisateurs avancés d’exécuter des logiciels malveillants en toute sécurité. Cela se fait de manière à ne pas affecter le fonctionnement du système hôte.

« S’il est configuré par [l’attaquant], le PowerShell met en œuvre des fonctions qui tentent de détecter si le script est exécuté dans des environnements Microsoft Sandbox, VMWare, VirtualBox ou Sandboxie », indique Morphisec.

Morphisec ajoute que « si le script identifie l’un de ces environnements de machine virtuelle, le script se termine sans charger la charge utile de la RAT. »

Vol d’informations sensibles

Une fois que les RAT sont installés dans le système informatique, ils se connectent à un serveur de commande et de contrôle (C2). Une fois cette opération effectuée, des logiciels malveillants supplémentaires sont ajoutés au système d’exploitation à partir de sites antérieurs tels que pastebin.com.

Les RAT sont très nuisibles aux systèmes informatiques. Le logiciel malveillant vole les informations d’identification des utilisateurs ainsi que des images et des vidéos provenant d’une webcam. Il récupère également les détails qui ont été copiés depuis votre presse-papiers et colle les informations sur une autre plateforme.

Selon Microsoft Security Intelligence, « les RAT se connectent à un serveur C2 hébergé sur un site d’hébergement dynamique pour s’enregistrer auprès des attaquants, puis utilisent un PowerShell codé en UTF-8 et des techniques sans fichier pour télécharger trois étapes supplémentaires à partir de pastebin[.]com ou de sites similaires. »

« Les chevaux de Troie ré-exécutent continuellement les composants jusqu’à ce qu’ils puissent les injecter dans des processus comme RegAsm, InstallUtil ou RevSvcs. Ils volent des informations d’identification, des captures d’écran et des données de webcam, des données de navigateur et de presse-papiers, des données système et réseau, et exfiltrent des données souvent via le port SMTP 587″, ajoute Microsoft.

Microsoft a répertorié sur GitHub quelques stratégies destinées au personnel de sécurité pour détecter tout logiciel malveillant sur leur réseau afin de renforcer la sécurité en ligne.

Microsoft a recueilli des informations de renseignement à l’aide des stratégies mentionnées, indiquant des courriels de phishing Spin3 visant les secteurs du voyage et de l’aviation.

« Cette méthode est utilisée dans les instances RevengeRAT et AsyncRAT impliquées dans une campagne ciblant le secteur de l’aviation, observée pour la première fois en 2021. Elle a également été associée par le passé à d’autres logiciels malveillants, tels que WannaCry et QuasarRAT », ajoute Microsoft.

Le ransomware WannaCry a été détecté en 2017 et s’est rapidement propagé à travers le monde. Des acteurs malveillants originaires de Corée du Nord ont créé le logiciel malveillant. Le logiciel malveillant QuasarRAT a été détecté en 2018, et il a été utilisé pour voler des informations privées du gouvernement ukrainien.