Des acteurs de la menace ont été découverts en train de distribuer un nouveau voleur d’informations d’identification écrit en langage de script AutoHotkey (AHK) dans le cadre d’une campagne en cours qui a débuté début 2020.

Les clients des institutions financières aux États-Unis et au Canada figurent parmi les principales cibles d’exfiltration des titres de compétences, avec un accent particulier sur les banques telles que la Banque Scotia, la Banque Royale du Canada, la HSBC, la Banque Alterna, Capital One, Manuvie et la Banque EQ. La société bancaire indienne ICICI Bank est également incluse dans la liste.

AutoHotkey est un langage de script personnalisé open source pour Microsoft Windows visant à fournir des raccourcis clavier simples pour la création de macros et l’automatisation logicielle qui permet aux utilisateurs d’automatiser les tâches répétitives dans n’importe quelle application Windows.

La chaîne d’infection en plusieurs étapes commence avec un fichier Excel contenant des logiciels malveillants qui est intégré à un Visual Basic pour Applications (VBA) AutoOpen macro, qui est ensuite utilisée pour supprimer et exécuter le script client de téléchargement (“adb.ahk”) via un exécutable de compilateur de script AHK portable légitime (“adb.exe”).

voleur de mot de passe

Le script du client de téléchargement est également responsable de la persistance, du profilage des victimes et du téléchargement et de l’exécution de scripts AHK supplémentaires à partir de serveurs de commande et de contrôle (C&C) situés aux États-Unis, aux Pays-Bas et en Suède.

Ce qui rend ce malware différent, c’est qu’au lieu de recevoir des commandes directement du serveur C&C, il télécharge et exécute des scripts AHK pour accomplir différentes tâches.

“Ce faisant, l’attaquant peut décider de télécharger un script spécifique pour réaliser des tâches personnalisées pour chaque utilisateur ou groupe d’utilisateurs”, chercheurs de Trend Micro m’a dit dans une analyse. “Cela empêche également les principaux composants d’être révélés publiquement, en particulier à d’autres chercheurs ou à des bacs à sable.”

Le principal d’entre eux est un voleur d’informations d’identification qui cible divers navigateurs tels que Google Chrome, Opera, Microsoft Edge, etc. Une fois installé, le voleur tente également de télécharger un module SQLite (“sqlite3.dll”) sur la machine infectée, en l’utilisant pour effectuer des requêtes SQL sur les bases de données SQLite dans les dossiers d’application des navigateurs.

Dans l’étape finale, le voleur collecte et déchiffre les informations d’identification des navigateurs et exfiltre les informations vers le serveur C&C en texte clair via une requête HTTP POST.

Notant que les composants du malware sont “bien organisés au niveau du code”, les chercheurs suggèrent que l’inclusion d’instructions d’utilisation (rédigées en russe) pourrait impliquer un groupe de “piratage pour compte d’autrui” qui est à l’origine de la création de la chaîne d’attaque et l’offre à d’autres en tant que service.

“En utilisant un langage de script dépourvu de compilateur intégré dans le système d’exploitation de la victime, en chargeant séparément les composants malveillants pour accomplir diverses tâches et en changeant fréquemment le serveur C&C, l’attaquant a pu cacher son intention aux sandbox”, les chercheurs conclu.



Leave a Reply