Le malware Hakbit utilise GuLoader et des fichiers Excel

Une campagne de rançongiciels, baptisée Hakbit, cible les télétravailleurs Européens avec des fichiers joints Excel malveillants distribués via le célèbre service de messagerie GMX.

La campagne d’hameçonnage est de faible volume et ciblait jusqu’à présent les secteurs pharmaceutique, juridique, financier, des services aux entreprises, de la vente au détail et de santé. Les campagnes à faible volume utilisent plusieurs domaines pour envoyer des e-mails afin de contourner le filtrage de spam basé sur la réputation ou le volume.

“Le plus grand volume de messages que nous avons observés a été envoyé aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie”, ont écrit les chercheurs de Proofpoint dans une analyse. Ils ont observé que «la majorité des rôles ciblés dans les campagnes Hakbit sont proches des clients avec les coordonnées professionnelles des individus révélées publiquement sur les sites Web de l’entreprise et/ou dans des publicités. Ces rôles incluent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les directeurs généraux et les chefs de projet. »

Les premiers e-mails d’hameçonnage ciblé utilisent des leurres financiers, avec des lignes d’objet comme “Fwd:Steuerrückzahlung” (Traduction: Remboursement de taxe) “et” Ihre Rechnung (Traduction: Your Bill) “.” Les e-mails sont fournis par un service de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.

Les pièces jointes sur les courriers électroniques prétendent être des documents de facturation et de remboursement d’impôts. Par exemple un e-mail a usurpé l’identité de 1&1, une société allemande de télécommunications et d’hébergement Web, et a déclaré à la victime que la pièce jointe sur l’e-mail était une facture.

Comment fonctionne le processus d’infection de Hakbit?

Une fois ouvertes, les pièces jointes Microsoft Excel invitent ensuite les victimes à activer les macros. Cela à son tour télécharge et exécute GuLoader. GuLoader est un dropper répandu qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il a été constamment mis à jour au cours de l’année 2020, avec de nouveaux binaires arborant des techniques d’évasion de sandbox, des fonctionnalités de randomisation de code, un chiffrement URL de commande et de contrôle (C2) et un chiffrement supplémentaire du payload.

hakbit

Plus récemment, le loader a été mis à l’honneur un peu plus tôt ce mois-ci après que des chercheurs aient allégué qu’une entreprise italienne vendait ce qu’elle décrit comme un utilitaire de chiffrement légitime mais qu’il était en fait utilisé comme un emballeur de logiciels malveillants pour GuLoader.

Dans cette campagne, lorsque GuLoader s’exécute, il télécharge et exécute ensuite Hakbit, un ransomware connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes, y compris des particuliers et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au rançongiciel Thanos. Dans une récente analyse du rançongiciel Thanos, les chercheurs de Recorded Future ont évalué «avec une grande confiance» que les échantillons de rançongiciel identifiés comme Hakbit sont construits à l’aide du constructeur du rançongiciel Thanos développé par Nosophoros (en se basant sur les similarités de code, la réutilisation des chaînes de caractère, l’extension du rançongiciel et le format des notes de rançon).

Après avoir chiffré les fichiers des victimes, Hakbit déploie une note de rançon exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers chiffrés et fournit des instructions sur la façon de payer la rançon.

hakbit

Le 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement de la rançon au portefeuille Bitcoin.

Quoi qu’il en soit, les chercheurs affirment que la campagne est très similaire à plusieurs campagnes de rançongiciels «cohérentes» à faible volume qui ont frappé les victimes depuis Janvier 2020.

Si cet article vous a plu, jetez un œil à notre article précédent.