EtterSilent est utilisé par plusieurs gangs de cybercriminels

0

Un constructeur de documents malveillants nommé EtterSilent gagne plus d’attention sur les forums souterrains, notent les chercheurs en sécurité. Comme sa popularité a augmenté, le développeur a continué à l’améliorer pour éviter la détection des solutions de sécurité.

Les cybercriminels derrière les opérations qui utilisent des logiciels malveillants notoires ont commencé à inclure EtterSilent dans leurs campagnes plus souvent pour augmenter le taux de réussite de la livraison de charge utile.

L’utilisation de macros et d’exploits

Des annonces publicitaires faisant la promotion du constructeur de document malveillant, EtterSilent, ont été publiés sur les forums souterrains depuis au moins mi-2020, bénéficiant de fonctionnalités comme le contournement de Windows Defender, Windows AMSI (Antimalware Scan Interface), et les services de messagerie populaires, Gmail inclus.

Dans un article de blog publié récemment, des chercheurs de la société d’intelligence des menaces Intel 471 notent que le vendeur a offert des documents Microsoft Office (de 2007 à 2019) en deux « saveurs » : avec un exploit pour une vulnérabilité connue ou avec une macro malveillante.

L’une des vulnérabilités exploitées est CVE-2017-8570, une exécution de code à distance de haute gravité. L’auteur a également mentionné deux autres vulnérabilités (CVE-2017-11882 et CVE-2018-0802), bien que certaines restrictions s’appliquent, et les a démontrées dans une vidéo.

Selon Intel 471, la variante avec la macro est la variante la plus populaire, probablement en raison de la « baisse des prix et une compatibilité plus élevée par rapport à l’exploit. »

Un document malveillant EtterSilent avec un code de macro peut se faire passer pour un document DocuSign ou DigiCert qui demande aux utilisateurs d’activer le support pour les macros qui téléchargent une charge utile en arrière-plan.

ettersilent

Parce qu’il utilise des macros XML de Excel 4.0, EtterSilent ne dépend pas du langage de programmation Visual Basic for Applications (VBA), qui est généralement vu avec des macros malveillantes.

Le document malveillant tire alors parti des macros Excel 4.0 stockées dans une feuille cachée, qui permettent de télécharger, d’écrire sur le disque et d’exécuter une charge utile hébergée à l’extérieur à l’aide de regsvr32 ou rundll32. De là, les attaquants peuvent continuer et partager d’autres logiciels malveillants. 

Intel 471

La faible détection attire de grands noms

Les chercheurs notent qu’un document malveillant EtterSilent a été inclus dans une récente campagne de spam qui a propagé une version mise à jour de Trickbot. Le gang a utilisé la même méthode lors d’une campagne le 19 mars pour infecter les systèmes avec BazarLoader/BazarBackdoor.

Intel 471 affirme que d’autres groupes de cybercriminels ont tiré parti des services EtterSilent pour leurs opérations. Quelques exemples sont les chevaux de Troie bancaires IcedID/BokBot, Ursnif/Gozi ISFB, et QakBot/QBot. Avec Trickbot, la plupart d’entre eux ont été utilisés pour livrer diverses souches de ransomware (Ryuk, Conti, Maze, Egregor, ProLock).

Les gangs aussi prolifiques que ceux-ci sont constamment à la recherche de nouvelles façons de distribuer leurs charges utiles tout en attirant le moins d’attention possible et le service de document malveillant EtterSilent semble fournir une bonne couverture.

Au début du mois de Mars, certains des documents construits avec cet outil sont passés complètement inaperçus par tous les moteurs antivirus.

Il y a une semaine, moins d’une poignée de moteurs antivirus ont détecté un document construit avec cet outil. Au moment d’écrire ces lignes, la détection est passée à 20/40 moteurs dans VirusTotal. Pour un autre fichier, la détection a augmenté après six jours en allant de 16/62 à 20/62.

ettersilent

L’an dernier, EtterSilent avait un prix de 130 $ pour la construction normale. Une offre plus chère existait également, 230$ pour une personnalisation qui rendait les fichiers malveillants uniques en les cryptant.

Le directeur de la sécurité de l’information d’Intel 471, Brandon Hoffman, a déclaré que ces prix sont pour la version exploit du constructeur de document malveillant. Pour la variante macro, le prix est d’environ 9 $ par construction.

Quant au vendeur, Hoffman nous a dit qu’il est un « acteur russophone de premier plan » qui a été actif pendant les deux dernières années montrant de l’intérêt pour le chiffrement des logiciels malveillants, des documents malveillants Microsoft Office, des chargeurs de logiciels malveillants, et les techniques d’évasion.

Le blog d’Intel 471 fournit une liste d’indicateurs de compromis pour les documents malveillants EtterSilent ainsi que pour les charges utiles qu’ils ont livrées : Trickbot, IcedID, QBot, Ursnif et BazarLoader.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.