Le cheval de Troie Masslogger cible Outlook et Google Chrome

0

Les cybercriminels ciblent les utilisateurs de Windows avec une nouvelle variante du cheval de Troie Masslogger, un logiciel espion conçu pour récupérer les informations d’identification des victimes depuis Microsoft Outlook, Google Chrome et divers comptes de messagerie instantanée.

Les chercheurs ont découvert la campagne ciblant les utilisateurs en Italie, en Lettonie et en Turquie à partir de mi-janvier. Lorsque la variante de Masslogger a lancé sa chaîne d’infection, elle a déguisé ses fichiers RAR malveillants en fichiers HTML compilés (CHM). Il s’agit d’une nouvelle tactique adoptée par Masslogger qui aide les logiciels malveillants à contourner les programmes défensifs potentiels, qui autrement bloqueraient la pièce jointe à cause de son extension de fichier RAR, ont déclaré les chercheurs.

« L’utilisation de HTML compilé (généralement utilisé pour les fichiers d’aide Windows) peut être avantageuse pour le hacker puisque le vecteur d’infection initial est le courrier électronique », a déclaré Vanja Svajcer, chercheuse chez Cisco Talos. «De nombreuses organisations ne considéreront pas les fichiers CHM comme des exécutables, il est donc plus probable que ces pièces jointes échappent aux filtres de contenu filtrant les e-mails entrants en fonction du nom ou du type de pièce jointe.

Masslogger est un programme de logiciel espion, qui est écrit en .NET et qui vole les informations d’identification du navigateur, des e-mails et de la messagerie instantanée. Le cheval de Troie a été déployé en Avril et a depuis été vendu sur des forums clandestins.

«Masslogger est un logiciel malveillant basic qui est en développement et en circulation depuis près d’un an maintenant», a déclaré Svajcer. «Il est vendu sur des forums clandestins pour une somme d’argent relativement modeste et il peut être utilisé par n’importe quel acteur malveillant. Nous voulions souligner que ces campagnes avec ces techniques de diffusion particulières peuvent probablement être liées à un seul acteur, en fonction du domaine du serveur d’exfiltration utilisé dans toutes les campagnes d’exfiltration des informations d’identification. « 

La chaine d’infection de Massloger: les e-mails d’hameçonnage ciblé

masslogger

Les chercheurs ont déclaré que la récente attaque avait débuté avec des messages électroniques contenant des lignes d’objet «d’apparence légitime». Un e-mail, par exemple, était intitulé « Demande de client national » et indiquait au destinataire: « À la demande de notre client, veuillez envoyer vos meilleurs devis ci-joints. »

Ces e-mails contenaient des pièces jointes RAR – cependant, alors que l’extension de nom de fichier typique pour les fichiers RAR est .rar, les attaquants les ont cachées dans ce cas avec l’extension de fichier .chm. Les fichiers ont été nommés avec le modèle «r00», les nombres augmentant par fichier dans chaque e-mail.

Le format de fichier HTML compilé (CHM) est utilisé pour la documentation d’aide – les fichiers sont compilés et enregistrés dans un format HTML compressé. Ils peuvent inclure du texte, des images et des hyperliens. Les fichiers CHM sont utilisés par les programmes Windows comme solution d’aide en ligne.

Cette extension de nom de fichier de pièce jointe est parfois choisie pour contourner les «simples bloqueurs», qui tentent de bloquer les pièces jointes RAR en utilisant son extension de nom de fichier par défaut «.rar», a déclaré Svajcer. WinRAR et les autres désarchiveurs compatibles RAR ouvriront toujours les fichiers CHM sans problème, a-t-il noté.

masslogger

Dans ce cas, les fichiers joints contiennent un fichier HTML incorporé avec un code JavaScript obscurci, qui, une fois ouvert, lance le processus d’infection actif.

Une fois le processus d’infection actif démarré, un script PowerShell s’exécute, qui finit par se désobscurcir en un téléchargeur. Ce dernier télécharge et charge ensuite le principal loader PowerShell.

«La charge utile principale est une variante du cheval de Troie Masslogger conçue pour récupérer et exfiltrer les informations d’identification des utilisateurs à partir de diverses sources, ciblant les utilisateurs domestiques et professionnels», a déclaré Svajcer. « Masslogger peut être configuré en tant que keylogger, mais dans ce cas, l’acteur a désactivé cette fonctionnalité. »

Les données de Microsoft Outlook et Google Chrome sont ciblées

La charge utile Masslogger contient la fonctionnalité pour cibler et voler les informations d’identification des applications suivantes: Pidgin (un client de messagerie instantanée multi-plateforme gratuit et open-source), le client FileZilla File Transfer Protocol (FTP), la plateforme de discussion de groupe Discord, NordVPN, Outlook, FoxMail, Firefox, Thunderbird, navigateur QQ et navigateurs basés sur Chromium (Chrome, Chromium, Edge, Opera et Brave).

«Une fois que les informations d’identification des applications ciblées sont récupérées, elles sont envoyées sur le serveur d’exfiltration avec un nom de fichier contenant le nom d’utilisateur, l’ID de pays à deux lettres, l’ID de machine unique et l’horodatage de la création du fichier», a déclaré Svajcer.

Masslogger continue d’évoluer

masslogger

Les chercheurs pensent que l’acteur derrière la campagne est lié à d’autres attaques, qui remontent au moins au mois de Septembre. Ces campagnes ont ciblé plusieurs pays européens et réorientent leurs priorités chaque mois. Par exemple, les chercheurs ont détecté des e-mails ciblant la Bulgarie, l’Estonie, la Hongrie, l’Italie, la Lettonie, la Lituanie, la Roumanie, l’Espagne et la Turquie, ainsi que des messages rédigés en anglais.

En se basant sur les indicateurs de compromis (IoC) que les chercheurs ont récupérés, ils ont déclaré qu’ils avaient «une confiance modérée» que cet attaquant avait déjà utilisé d’autres charges utiles telles que le cheval de Troie AgentTesla et le dropper Formbook dans des campagnes commençant dès le mois d’Avril.

«Le pirate utilise une approche multi-modulaire qui commence par l’e-mail d’hameçonnage initial et se poursuit jusqu’à la charge utile finale», a déclaré Svajcer. «Les hackers derrière cette campagne font probablement cela pour échapper à la détection. Mais cela peut aussi être une faiblesse, car les cibles ont de nombreuses opportunités de briser la chaîne d’infection. »

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.