Une nouvelle sournoise voleur d’informations se glisse sur les machines des utilisateurs via des redirections de sites Web de Google Ads qui se présentent comme des sites de téléchargement pour les logiciels populaires de télétravail, tels que Zoom et AnyDesk.

Les acteurs de la menace à l’origine de la nouvelle souche de logiciels malveillants, « Rhadamanthys Stealer » – disponible à l’achat sur le Dark Web dans le cadre d’un modèle de malware en tant que service – utilisent deux méthodes de diffusion pour propager leur charge utile, selon des chercheurs de Cyble révélé dans un article de blog publié le 12 janvier.

La première consiste à utiliser des sites de phishing soigneusement conçus qui se font passer pour des sites de téléchargement non seulement pour Zoom, mais également pour AnyDesk, Notepad ++ et Bluestacks. L’autre est par le biais d’e-mails de phishing plus typiques qui transmettent le malware sous forme de pièce jointe malveillante, ont déclaré les chercheurs.

Les deux méthodes de livraison constituent une menace pour l’entreprise, car le phishing combiné à la crédulité humaine de la part des employés de l’entreprise sans méfiance continue d’être un moyen efficace pour les acteurs de la menace « d’obtenir un accès non autorisé aux réseaux d’entreprise, ce qui est devenu une préoccupation sérieuse », ils m’a dit.

En effet, une enquête annuelle par Verizon sur les violations de données trouvé qu’en 2021environ 82 % de toutes les violations impliquaient l’ingénierie sociale sous une forme ou une autre, les acteurs de la menace préférant hameçonner leurs cibles par e-mail plus de 60 % du temps.

Arnaque « très convaincante »

Les chercheurs ont détecté un certain nombre de domaines de phishing que les pirates ont créés pour propager Rhadamanthys, dont la plupart semblent être des liens d’installation légitimes pour les différentes marques de logiciels susmentionnées. Certains des liens malveillants qu’ils ont identifiés incluent : installation de bluestacks[.]com, zoomus-installer[.]com, install-zoom[.]com, install-anydesk[.]com et zoom-meetings-install[.]com.

« Les acteurs de la menace derrière cette campagne … ont créé une page Web de phishing très convaincante se faisant passer pour des sites Web légitimes pour inciter les utilisateurs à télécharger le malware voleur, qui mène des activités malveillantes », ont-ils écrit.

Si les utilisateurs mordent à l’appât, les sites Web téléchargeront un fichier d’installation déguisé en installateur légitime pour télécharger les applications respectives, installant silencieusement le voleur en arrière-plan à l’insu de l’utilisateur, ont déclaré les chercheurs.

Dans l’aspect plus traditionnel des e-mails de la campagne, les attaquants utilisent des spams qui exploitent l’outil d’ingénierie sociale typique consistant à décrire l’urgence de répondre à un message avec un thème financier. Les e-mails prétendent envoyer des relevés de compte aux destinataires avec un Statement.pdf en pièce jointe sur lequel ils sont invités à cliquer afin qu’ils puissent répondre avec une « réponse immédiate ».

Si quelqu’un clique sur la pièce jointe, il affiche un message indiquant qu’il s’agit d’un « Adobe Acrobat DC Updater » et inclut un lien de téléchargement intitulé « Télécharger la mise à jour ». Ce lien, une fois cliqué, télécharge un exécutable de malware pour le voleur à partir de l’URL « https[:]\\zolotayavitrina[.]com/Jan-statement[.]EXE » dans le dossier Téléchargements de la machine victime, ont déclaré les chercheurs.

Une fois ce fichier exécuté, le voleur est déployé pour récupérer des données sensibles telles que l’historique du navigateur et divers identifiants de connexion au compte – y compris une technologie spécifique pour cibler le crypto-portefeuille – de l’ordinateur de la cible, ont-ils déclaré.

La charge utile de Rhadamanthys

Rhadamanthys agit plus ou moins comme un voleur d’informations typique; cependant, il possède certaines caractéristiques uniques que les chercheurs ont identifiées lorsqu’ils ont observé son exécution sur la machine d’une victime.

Bien que ses fichiers d’installation initiaux soient en code Python obscurci, la charge utile éventuelle est décodée en tant que shellcode sous la forme d’un fichier exécutable 32 bits compilé avec le compilateur visuel C/C++ de Microsoft, ont découvert les chercheurs.

Le premier ordre du jour du shellcode est de créer un objet mutex visant à garantir qu’une seule copie du malware est en cours d’exécution sur le système de la victime à un moment donné. Il vérifie également s’il s’exécute sur une machine virtuelle, apparemment pour empêcher le voleur d’être détecté et analysé dans un environnement virtuel, ont déclaré les chercheurs.

« Si le logiciel malveillant détecte qu’il s’exécute dans un environnement contrôlé, il mettra fin à son exécution », ont-ils écrit. « Sinon, il continuera et effectuera l’activité de voleur comme prévu. »

Cette activité comprend la collecte d’informations système, telles que le nom de l’ordinateur, le nom d’utilisateur, la version du système d’exploitation et d’autres détails de la machine, en exécutant une série de requêtes Windows Management Instrumentation (WMI). Cela est suivi d’une requête des répertoires des navigateurs installés – y compris Brave, Edge, Chrome, Firefox, Opera Software et autres – sur la machine de la victime pour rechercher et voler l’historique du navigateur, les signets, les cookies, les remplissages automatiques et identifiants de connexion.

Le voleur a également pour mandat spécifique de cibler divers portefeuilles cryptographiques, avec des cibles spécifiques telles que Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap et autres. Il vole également les données de diverses extensions de navigateur de portefeuille cryptographique, qui sont codées en dur dans le binaire du voleur, ont déclaré les chercheurs.

Les autres applications ciblées par Rhadamanthys sont : les clients FTP, les clients de messagerie, les gestionnaires de fichiers, les gestionnaires de mots de passe, les services VPN et les applications de messagerie. Le voleur capture également des captures d’écran de la machine de la victime. Le malware envoie finalement toutes les données volées au serveur de commande et de contrôle (C2) des attaquants, ont déclaré les chercheurs.

Dangers pour l’entreprise

Depuis la pandémie, la main-d’œuvre des entreprises est devenue globalement plus dispersée géographiquement, ce qui pose défis de sécurité uniques. Les outils logiciels qui facilitent la collaboration des travailleurs à distance – comme Zoom et AnyDesk – sont devenus des cibles populaires non seulement pour menaces spécifiques à l’applicationmais aussi pour les campagnes d’ingénierie sociale par des attaquants qui veulent capitaliser sur ces défis.

Et alors que la plupart des employés d’entreprise devraient désormais en savoir plus, le phishing reste un moyen très efficace pour les attaquants de prendre pied dans un réseau d’entreprise, ont déclaré les chercheurs. Pour cette raison, les chercheurs de Cybel recommandent à toutes les entreprises d’utiliser des produits de sécurité pour détecter les e-mails et les sites Web de phishing sur leur réseau. Celles-ci devraient également être étendues aux appareils mobiles accédant aux réseaux d’entreprise, ont-ils déclaré.

Les entreprises devraient éduquer les employés sur les dangers liés à l’ouverture de pièces jointes provenant de sources non fiables, ainsi qu’au téléchargement de logiciels piratés sur Internet, ont déclaré les chercheurs. Ils devraient également souligner l’importance d’utiliser des mots de passe forts et d’appliquer l’authentification multifacteur dans la mesure du possible.

Enfin, les chercheurs de Cyble ont conseillé qu’en règle générale, les entreprises devraient bloquer les URL – telles que les sites Torrent/Warez – qui peuvent être utilisées pour diffuser des logiciels malveillants.