Le malware LodaRAT cible les appareils Android

Une variante récemment découverte du malware LodaRAT, qui a toujours ciblé les appareils Windows, est distribuée dans le cadre d’une campagne en cours qui cible désormais également les appareils Android et espionne les victimes.

Parallèlement à cela, une version mise à jour de LodaRAT pour Windows a également été identifiée. Les deux versions ont été observées dans une récente campagne ciblant le Bangladesh, ont déclaré des chercheurs.

La campagne reflète un changement global de stratégie pour les développeurs de LodaRAT, car l’attaque semble être motivée par l’espionnage plutôt que par leurs objectifs financiers antérieurs. Alors que les versions précédentes de LodaRAT contenaient des capacités de vol d’informations d’identification qui, selon les chercheurs, étaient utilisées pour vider les comptes bancaires des victimes, ces nouvelles versions sont accompagnées d’un tour d’horizon complet de commandes de collecte d’informations.

«Le fait que le groupe de menaces a évolué vers des campagnes hybrides ciblant Windows et Android montre un groupe qui prospère et évolue», ont déclaré des chercheurs de Cisco Talos. «Parallèlement à ces améliorations, le pirate informatique s’est désormais concentré sur des cibles spécifiques, indiquant des capacités opérationnelles plus matures. Comme c’est le cas avec les versions précédentes de LodaRAT, les deux versions de cette nouvelle itération représentent une menace sérieuse, car elles peuvent entraîner une violation de données importante ou de lourdes pertes financières. »

Qu’est-ce que le malware LodaRAT?

LodaRAT, découvert pour la première fois en Septembre 2016, est un cheval de Troie d’accès à distance (RAT) doté de diverses fonctionnalités pour espionner les victimes, telles que l’espionnage des microphones et des webcams des appareils des victimes. Le nom «Loda» est dérivé d’un répertoire dans lequel l’auteur du malware a choisi d’écrire des logs de keylogger.

Depuis sa découverte en 2016, le RAT a proliféré, et plusieurs nouvelles versions ont été repérées dans la nature. Le RAT, qui est écrit en AutoIT, semble être distribué par plusieurs groupes de cybercriminels qui l’utilisent pour cibler de nombreux secteurs.

android lodarat

Une récente cyberattaque de LodaRAT au Bangladesh

Les chercheurs ont observé une campagne impliquant LodaRAT qui a débuté en octobre et est toujours active. Les attaquants semblent avoir un intérêt particulier pour les organisations basées au Bangladesh, y compris les banques et les fournisseurs de logiciels de voix sur IP (VoIP) d’opérateur.

Vitor Ventura, responsable technique et chercheur principal en sécurité de Cisco Talos, a déclaré que les vecteurs d’attaque initiaux de la campagne impliquaient des e-mails envoyés aux victimes avec des liens vers des applications malveillantes (pour les versions Windows et Android) ou des documents malveillants (pour la version de Windows).

«La campagne découverte ciblant le Bangladesh a utilisé différents niveaux de leurres, de domaines squattés aux noms de fichiers directement liés aux produits ou services de leurs victimes», ont déclaré les chercheurs.

Pour l’attaque maldoc ciblant Windows, après que la victime ait cliqué sur les documents malveillants, les attaquants ont utilisé un document RTF malveillant, qui exploite CVE-2017-11882 (une vulnérabilité d’exécution de code à distance existant dans Microsoft Office) afin de télécharger LodaRAT.

Une nouvelle variante Android de LodaRAT

La version Android du malware LodaRAT, que les chercheurs appellent «Loda4Android», est «relativement simple par rapport aux autres malwares Android», ont déclaré les chercheurs. Par exemple, le RAT a spécifiquement évité les techniques souvent utilisées par les chevaux de Troie bancaires Android, telles que l’exploitation des API d’accessibilité, afin de voler des données.

Le protocole de commande et de contrôle (C2) sous-jacent suit le même modèle de conception que la version Windows, ont déclaré les chercheurs – suggérant que le code C2 sera capable de gérer les deux versions.

En outre, Loda4Android a «tous les composants d’une application de harceleur», ont déclaré les chercheurs. Le logiciel malveillant collecte des données de localisation et enregistre l’audio, et peut prendre des photos et des captures d’écran.

«Il peut enregistrer des appels audio, mais il n’enregistrera que ce que dit la victime, mais pas ce que dit son homologue», ont déclaré les chercheurs. «Les fonctionnalités d’exfiltration de SMS, de journal des appels et des contacts sont également présentes. Il est intéressant de noter qu’il n’est pas capable d’intercepter les SMS ou les appels, comme on le voit habituellement dans les chevaux de Troie bancaires. »

Une nouvelle version Windows de LodaRAT

La nouvelle version de LodaRAT qui cible les systèmes Windows est la version 1.1.8. Bien qu’il s’agisse essentiellement de la même chose que les versions précédentes, de nouvelles commandes ont été ajoutées pour étendre ses capacités.

D’une part, la version est livrée avec de nouvelles commandes qui donnent au pirate informatique un accès à distance à la machine cible via le protocole RDP (Remote Desktop Protocol). La nouvelle version peut désormais tirer parti de la bibliothèque audio BASS pour capturer l’audio d’un microphone connecté. BASS est utilisé dans les logiciels Win32, macOS, Linux et PocketPC pour fournir des fonctions de streaming et d’enregistrement de musique.

«Cette nouvelle commande est une amélioration par rapport à la commande précédente « son » qui utilisait le magnétophone intégré à Windows», ont déclaré les chercheurs. «La raison de l’abandon de la méthode précédente est probablement due au fait que Windows Sound Recorder ne peut enregistrer l’audio que pendant 60 secondes maximum. La nouvelle méthode autorise toute durée d’enregistrement spécifiée par le hacker. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires