Posté le mars 12, 2019 à 20:37
UN NOUVEAU LOGICIEL MALVEILLANT VOLANT DES DONNÉES À TRAVERS LES PLATEFORMES GITHUB ET SLACK
Selon des chercheurs de Trend Micro, ils ont récemment découvert un nouveau logiciel malveillant qui utilise GitHub, les canaux Slack et file.io pour voler des informations aux utilisateurs via des ordinateurs Windows.Une enquête plus approfondie a révélé que le logiciel malveillant faisait partie de ce que l’on appelle un «point d’arrosage» qui a pour but de détruire un site Web très visité par des publics cibles spécifiques.
Le site Web en question, qui restera anonyme, servirait «l’intérêt» de ceux qui sont enclins à la politique, en particulier du fait que le logiciel malveillant a été découvert en février.
Le site Web suspect n’a tenté qu’une seule fois d’amener chaque internaute à visiter une page nuisible qui exploite le CVE-2018-8174, une échappatoire du moteur VBScript d’exécution de code à distance pouvant être utilisée via Internet Explorer.
Le 18 mai 2018, Microsoft a réussi à corriger le bug. Il est donc probable que tout visiteur utilisant un système d’exploitation Windows sans ce correctif spécifique ait été infecté.Le logiciel malveillant a été appelé «Slub» par Trend Micro. En effet, pour voler des données sur un ordinateur corrompu, l’attaquant a besoin de GitHub et Slack.
Qu’est-ce que cela peut causer?
Trend Micro a souligné qu’une fois qu’un utilisateur est infecté, un autre groupe de fichiers contenant Slub est téléchargé par le logiciel malveillant initial, qui exécute également des contrôles pour détecter la présence d’un antivirus.Si l’on en identifie un, le logiciel malveillant s’en va et c’est ainsi qu’il a réussi à rester caché par la suite.
Cependant, les problèmes ne s’arrêtent pas là car les attaquants peuvent utiliser ce logiciel malveillant pour exploiter un bug Windows plus ancien, CVE-2015-1705, qui est en réalité une faille d’escalade locale des privilèges du noyau win32k.sys. Celui-ci a été choisi spécifiquement pour sa capacité à contourner l’application Windows Sandbox.
Après avoir complètement mis en péril un ordinateur, la porte dérobée exploite un canal Slack privé est utilisé pour inspecter les commandes volées à partir des snippets «gist» hébergés par GitHub, puis ces commandes sont envoyées à un autre canal Slack privé surveillé par l’attaquant.
Que peut-il voler?
Des fichiers spécifiques sont ensuite téléchargés par le PC compromis dans file.io, un site de partage de fichiers lorsque l’attaquant est en mesure de les récupérer.Il s’intéresse de près aux renseignements personnels et porte une attention particulière aux logiciels de communication.
En plus de tirer parti des canaux Slack, la porte arrière dispose également de commandes permettant de cibler le dossier du bureau, de le compresser et de le voler.Il crée ensuite une arborescence de fichiers du bureau et à partir de là, recherche les informations hors ligne stockées sur Twitter, Skype, BBS et KakaoTalk.Enfin, il utilise une extension utilisée par une application de traitement de texte coréenne pour copier tous les fichiers .hwp.
Trend Micro a indiqué qu’elle a transmis le problème au Centre canadien pour la cybersécurité, qui s’est associé au propriétaire du point d’arrosage pour tenter de se débarrasser du logiciel malveillant.
Le Slack Workspace est fermé par Slack ayant vu que les conditions de service sont violé par l’attaquant. GitHub a suivi peu de temps après et a supprimé les fichiers de sa plate-forme de service.
L’équipe de Trend Micro a déclaré croire fermement que cela faisait partie d’une éventuelle campagne d’attaque ciblée. Ils ont ensuite ajouté que ces attaquants ne sont pas des amateurs, en raison de la coordination de l’attaque. Ils ont éliminé toute possibilité de retrouver leur identité en utilisant uniquement des applications tierces publiques.
