malware pirate

Les chercheurs en cybersécurité ont dévoilé une campagne de surveillance continue dirigée contre les institutions gouvernementales colombiennes et les entreprises privées des secteurs de l’énergie et de la métallurgie.

Dans un rapport publié mardi par ESET, la société slovaque de sécurité Internet a déclaré que les attaques – doublées “Opération Spalax“- a commencé en 2020, avec un mode opératoire partageant certaines similitudes avec un groupe APT ciblant le pays depuis au moins avril 2018, mais également différent à d’autres égards.

Les chevauchements se présentent sous la forme d’e-mails de phishing, qui ont des sujets similaires et prétendent provenir de certaines des mêmes entités qui ont été utilisées lors d’une opération de février 2019 révélée par Chercheurs QiAnXinet les noms de sous-domaines utilisés pour les serveurs de commande et de contrôle (C2).

Cependant, les deux campagnes divergent dans les pièces jointes utilisées pour les e-mails de phishing, les chevaux de Troie d’accès à distance (RAT) déployés et l’infrastructure C2 utilisée pour récupérer le malware déposé.

La chaîne d’attaque commence avec les cibles recevant des e-mails de phishing qui conduisent au téléchargement de fichiers malveillants, qui sont des archives RAR hébergées sur OneDrive ou MediaFire contenant divers droppers chargés de décrypter et d’exécuter des RAT tels que Remcos, njRAT, et AsyncRAT sur un ordinateur victime.

attaques de logiciels malveillants

Les e-mails de phishing couvrent un large éventail de sujets, y compris ceux sur les infractions au code de la route, assistent aux audiences du tribunal et passent des tests COVID-19 obligatoires, augmentant ainsi la probabilité que des utilisateurs sans méfiance ouvrent les messages.

Dans un autre scénario observé par ESET, les attaquants se sont également avérés utiliser des droppers AutoIt fortement masqués qui utilisaient un shellcode pour décrypter la charge utile et un autre pour l’injecter dans un processus déjà en cours d’exécution.

Les RAT sont non seulement dotés de capacités de contrôle à distance, mais également d’espionnage des cibles en capturant des frappes au clavier, en enregistrant des captures d’écran, en volant des données de presse-papiers, en exfiltrant des documents sensibles et même en téléchargeant et en exécutant d’autres logiciels malveillants.

L’analyse d’ESET a également révélé une architecture C2 évolutive exploitée à l’aide d’un service DNS dynamique qui leur permettait d’attribuer dynamiquement un nom de domaine à une adresse IP à partir d’un pool de 70 noms de domaine différents et 24 adresses IP au cours du seul second semestre 2020.

“Les attaques de logiciels malveillants ciblés contre des entités colombiennes ont été intensifiées depuis les campagnes décrites l’année dernière”, ont conclu les chercheurs. «Le paysage est passé d’une campagne qui comptait une poignée de serveurs et de noms de domaine C2 à une campagne avec une infrastructure très vaste et en évolution rapide avec des centaines de noms de domaine utilisés depuis 2019.»



Leave a Reply