Posté le décembre 15, 2020 à 16:33
UN GROUPE DE HACKERS UTILISE FACEBOOK ET GOOGLE POUR IMPLANTER DES LOGICIELS MALVEILLANTS
La société de cybersécurité Cybereason a révélé qu’elle avait découvert une campagne de cyber-espionnage qui utilise de nouveaux logiciels malveillants basés sur Google Drive, Dropbox et Facebook pour la communication de commandes et de contrôle.
Selon le rapport de la société de sécurité, le groupe de hackers Molerats est responsable de l’attaque. La campagne utilise deux nouvelles portes dérobées connues sous le nom de DropBook et SharpStage. Elle utilise également un téléchargeur de logiciel malveillant non documenté appelé MoreNet.
La campagne a débuté en septembre
Les chercheurs en sécurité ont déclaré que la campagne du groupe de hackers a commencé en septembre et s’est poursuivie jusqu’en novembre. Comme indiqué, les victimes arabophones qu’ils ont ciblées comprenaient des cibles en Egypte, aux Emirats arabes unis, dans les territoires palestiniens, ainsi que des cibles non arabophones en Turquie.
« Nous avons remarqué le début de la campagne en septembre 2020, avec d’autres attaques entre octobre et novembre 2020 », a déclaré la société de sécurité.
Cybereason a également contacté les entreprises pour les informer de ces abus.
D’autres chercheurs en cybersécurité, notamment ceux travaillant chez Microsoft, ont signalé des méthodes de cyber-espionnage similaires utilisées par des groupes de hackers non étatiques pour abuser des plateformes cloud.
Les chercheurs de Cybereason ont révélé que l’attaque de Molerats commence par l’envoi d’e-mails de phishing à thème politique par les acteurs malveillants aux cibles sur les événements actuels dans la région du Moyen-Orient.
Le logiciel malveillant est difficile à détecter
Les acteurs malveillants de Molerats ont rendu leur détection extrêmement difficile puisqu’ils utilisent des plateformes de cloud computing populaires pour communiquer avec les logiciels malveillants. Bien que Cyberreason ait été en mesure de détecter l’existence du groupe de hackers et certaines de leurs méthodes d’attaque, les chercheurs ont déclaré qu’il existe encore certains éléments à leur sujet qui sont relativement inconnus.
Le logiciel malveillant utilise les services de Facebook et de Dropbox pour accéder à des données sensibles et obtenir de véritables instructions de leurs opérateurs. Une fois que le logiciel malveillant a volé les données des utilisateurs cibles, il les extrait en utilisant la fonction DropBox.
Des personnalités politiques importantes sont visées
Selon la société de sécurité, les attaquants planifient la campagne de piratage contre des hauts fonctionnaires et des personnalités politiques de haut rang au Moyen-Orient. Ils envoient généralement un courrier électronique aux cibles et les trompent pour qu’elles téléchargent des documents malveillants.
Mais le fichier n’offre pas le détail du contenu. Les utilisateurs ciblés sont ensuite invités à télécharger les archives protégées par un mot de passe, stockées dans Google Drive ou Dropbox, avant de pouvoir voir les documents dans leur intégralité.
Une fois que l’utilisateur télécharge lesdites archives, il donne à Molerats la possibilité d’infecter les utilisateurs avec les portes dérobées DropBook et SharpStage, qui peuvent ensuite télécharger d’autres logiciels malveillants.
Exploitation abusive des services cloud
Ledit logiciel malveillant effectue sa communication de commande et de contrôle en utilisant les services de cloud computing les plus courants. La porte dérobée DropBox, conçue en Python, ne reçoit ses instructions que de Facebook et de Simpleton, l’application de prise de notes d’iOS.
Après avoir reçu les instructions, les acteurs malveillants peuvent contrôler la porte dérobée grâce à des commandes affichées sur Facebook, l’application Simpleton servant de sauvegarde.
En utilisant DropBox, les acteurs malveillants peuvent vérifier les noms de fichiers et les programmes installés dans le système. Ils peuvent également exécuter des commandes shell depuis Simpleton ou Facebook et obtenir plus d’informations via DropBox. SharpStage, l’autre porte dérobée de Molerats n’utilise pas les services de cloud computing pour les instructions, mais des serveurs de commande et de contrôle classiques.
Selon Cybereason, les trois saveurs de SharpStage qu’il a découvertes fonctionnent toutes de la même manière. Selon le FIR, les trois modèles peuvent décompresser les données récupérées sur le serveur de commande et de contrôle, exécuter des commandes arbitraires et faire des captures d’écran.
Les portes dérobées ont également un groupe cible spécifique, à savoir, dans son cas, les utilisateurs arabophones. Pour savoir si le système a installé la langue arabe, les backdoors peuvent scanner les ordinateurs concernés avant d’y enregistrer leur présence.
L’autre logiciel malveillant utilisé par les acteurs malveillants de Molerats est connu sous le nom de MoleNet. Ce logiciel malveillant peut faire beaucoup de choses, notamment obtenir de nouvelles charges utiles, redémarrer un ordinateur à partir de la ligne de commande, rechercher des débogueurs et exécuter des commandes WMI pour établir le profil d’un système d’exploitation.
