03 janvier 2023Ravie LakshmananPost-exploitation / Logiciels malveillants

Ver Rouge-Gorge Framboise

Les secteurs de la finance et de l’assurance en Europe ont été ciblés par la Rouge-gorge Framboise ver, car le logiciel malveillant continue de faire évoluer ses capacités de post-exploitation tout en restant sous le radar.

« Ce qui est unique avec le malware, c’est qu’il est fortement obscurci et très complexe à désassembler statiquement », a déclaré Security Joes. m’a dit dans un nouveau rapport publié lundi.

Les intrusions, observées contre des organisations hispanophones et lusophones, se distinguent par la collecte de plus de données sur les machines des victimes que précédemment documenté, le logiciel malveillant présentant désormais des techniques sophistiquées pour résister à l’analyse.

Raspberry Robin, également appelé ver QNAP, est utilisé par plusieurs acteurs malveillants comme moyen de s’implanter dans les réseaux cibles. Diffusé via des clés USB infectées et d’autres méthodes, le framework a récemment été utilisé dans des attaques visant les secteurs des télécommunications et du gouvernement.

Publicité

Microsoft suit les opérateurs de Raspberry Robin sous le nom de DEV-0856.

L’enquête médico-légale de Security Joes sur une telle attaque a révélé l’utilisation d’un fichier 7-Zip, qui est téléchargé depuis le navigateur de la victime via l’ingénierie sociale et contient un fichier d’installation MSI conçu pour supprimer plusieurs modules.

Ver Rouge-Gorge Framboise

Dans un autre cas, un fichier ZIP aurait été téléchargé par la victime via une publicité frauduleuse hébergée sur un domaine connu pour distribuer des logiciels publicitaires.

Le fichier d’archive, stocké sur un serveur Discord, contient du code JavaScript codé qui, lors de son exécution, supprime un téléchargeur protégé par de nombreuses couches d’obscurcissement et de cryptage pour échapper à la détection.

Le téléchargeur de shellcode est principalement conçu pour récupérer des exécutables supplémentaires, mais il a également connu des mises à niveau importantes qui lui permettent de profiler ses victimes pour fournir des charges utiles appropriées, recourant même dans certains cas à une forme de ruse en servant de faux logiciels malveillants.

Cela implique la collecte de l’identifiant universel unique de l’hôte (UUID), le nom du processeur, les périphériques d’affichage connectés et le nombre de minutes écoulées depuis le démarrage du système, ainsi que les informations sur le nom d’hôte et le nom d’utilisateur recueillies par les anciennes versions du logiciel malveillant.

Les données de reconnaissance sont ensuite cryptées à l’aide d’une clé codée en dur et transmises à un serveur de commande et de contrôle (C2), qui répond avec un binaire Windows qui est ensuite exécuté sur la machine.

« Non seulement nous avons découvert une version du logiciel malveillant qui est plusieurs fois plus complexe, mais nous avons également constaté que le balisage C2, qui avait auparavant une URL avec un nom d’utilisateur et un nom d’hôte en clair, dispose désormais d’une charge utile cryptée RC4 robuste », menace a déclaré le chercheur Felipe Duarte.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLes ventes de processeurs AMD Ryzen 7000 Zen 4 sont minuscules par rapport à Zen 3
Article suivantPower Rankings, semaine 12 : les pépites grimpent au premier rang pour commencer la nouvelle année
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici