Le célèbre botnet Emotet a été lié à une nouvelle vague de campagnes de spam qui tirent parti des fichiers d’archives protégés par mot de passe pour déposer CoinMiner et Quasar RAT sur des systèmes compromis.
Dans un chaîne d’attaque détecté par les chercheurs de Trustwave SpiderLabs, un leurre de fichier ZIP sur le thème de la facture s’est avéré contenir une archive imbriquée auto-extractible (SFX), la première archive servant de conduit pour lancer la seconde.
Alors que les attaques de phishing comme celles-ci nécessitent traditionnellement de persuader la cible d’ouvrir la pièce jointe, la société de cybersécurité a déclaré que la campagne contourne cet obstacle en utilisant un fichier batch pour fournir automatiquement le mot de passe pour déverrouiller la charge utile.
Le premier fichier d’archive SFX utilise en outre une icône PDF ou Excel pour le faire paraître légitime, alors qu’en réalité, il contient trois composants : le deuxième fichier RAR SFX protégé par mot de passe, le script batch susmentionné qui lance l’archive, et un PDF ou une image leurre.
« L’exécution du fichier de commandes entraîne l’installation du logiciel malveillant caché dans le RARsfx protégé par mot de passe [self-extracting RAR archive] », ont déclaré les chercheurs Bernard Bautista et Diana Lopera dans un article publié jeudi.
Le script batch y parvient en spécifiant le mot de passe de l’archive et le dossier de destination dans lequel la charge utile sera extraite, en plus de lancer une commande pour afficher le document leurre dans le but de dissimuler l’activité malveillante.
Enfin, l’infection aboutit à l’exécution de CoinMiner, un mineur de crypto-monnaie qui peut également servir de voleur d’informations d’identification, ou RAT QUASARun open source basé sur .NET cheval de Troie d’accès à distanceen fonction de la charge utile contenue dans l’archive.
La technique d’attaque en un clic est également remarquable en ce qu’elle franchit efficacement l’obstacle du mot de passe, permettant aux acteurs malveillants d’effectuer un large éventail d’actions telles que le cryptojacking, l’exfiltration de données et les ransomwares.
Trustwave a déclaré avoir identifié une augmentation des menaces emballées dans des fichiers ZIP protégés par mot de passe, dont environ 96 % sont distribuées par le botnet Emotet.
« L’archive auto-extractible existe depuis longtemps et facilite la distribution des fichiers entre les utilisateurs finaux », ont déclaré les chercheurs. « Cependant, cela pose un risque pour la sécurité car le contenu du fichier n’est pas facilement vérifiable et il peut exécuter des commandes et des exécutables en silence. »