Les experts de Bitdefender Labs ont découvert une nouvelle famille de malwares. L'attaque sophistiquée et très ciblée appelée DownEx cible toujours les agences gouvernementales d'Asie centrale. Les entreprises opérant dans ces régions peuvent également devenir des victimes.
L'objectif principal des attaquants est l'espionnage et l'exfiltration d'informations. Le code malveillant de l'attaque sans fichier n'est en grande partie exécuté que dans la mémoire principale et est donc difficile à détecter. En analysant le script Python et en procédant à l'ingénierie inverse de la communication avec le serveur de commande et de contrôle (C2C), les experts ont pu identifier quatre fonctions principales du logiciel malveillant : il permet aux pirates de rechercher spécifiquement des fichiers, de les exfiltrer, de supprimer ou prendre des captures d'écran du contenu de l'écran des systèmes concernés.
Espionnage : A la recherche de données confidentielles
Les auteurs de la campagne s'intéressent particulièrement aux données confidentielles, comme celles portant l'extension .pgp (Pretty Good Privacy) ou .pem (Privacy Enhanced Mail). Les pirates recherchent également des données financières, telles que les fichiers journaux de QuickBooks (extension .tlg).
Le domaine et les adresses IP associés à la campagne sont nouveaux. Le code malveillant ne présente aucune similitude avec les logiciels malveillants précédemment connus. Bitdefender Labs a été le premier à repérer la nouvelle campagne de logiciels malveillants et l'a nommée DownEx.
Attaques ciblées sur les entreprises
Les pirates ciblent spécifiquement des victimes sélectionnées. Le vecteur d'attaque d'origine n'est pas clair, mais le harponnage et l'ingénierie sociale sont probablement au début de chaque attaque. Pour afficher la charge utile, les cybercriminels utilisent une icône classique et simple avec un fichier .docx qui déguise un fichier exécutable en charge utile malveillante. La deuxième charge utile est un fichier .hta (mais sans cette extension de fichier) avec un code VBScript malveillant intégré qui connecte le système compromis au serveur C2C. Un fichier .hta (application HTML) contient du code VBScript, HTML, CSS ou JavaScript qui s'exécute en tant qu'application autonome dans les environnements de système d'exploitation Windows. La communication ultérieure entre le serveur et le système victime, qui est difficile à détecter, s'exécute via la porte dérobée help.py basée sur Python.
Origine russe ? – Fond d'état !
Les indicateurs et les techniques utilisés peuvent indiquer une origine russe des acteurs. Cependant, aucune déclaration définitive ne peut être faite à ce sujet. Les métadonnées du document utilisé avec l'identité donnée d'un diplomate pourraient être une indication.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
De même, le malware utilise une version crackée de Microsoft 2016, qui est principalement distribuée dans les pays russophones ("SPecialisST RePack" ou "Russian RePack by SPecialiST"). La porte dérobée est également écrite en deux langues. Cette pratique est connue du groupe russe APT28 et de sa porte dérobée Zebrocy. Cependant, ces indications ne sont pas suffisantes. Le contexte de l'état de l'attaque hautement ciblée est évident. Les métadonnées du document Word indiquent un véritable diplomate comme expéditeur supposé.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de