PyMicropsia vole vos informations et vos fichiers Outlook

Les chercheurs ont découvert un nouveau trojan nommé PyMicropsia qui dérobe vos informations, cible les systèmes Microsoft Windows avec des capacités d’exfiltration de données, en passant par la collecte des informations d’identification du navigateur jusqu’au ciblage des fichiers Outlook.

Le cheval de Troie, appelé PyMicropsia (en raison de sa construction avec Python) a été développé par le groupe de menaces AridViper, ont déclaré des chercheurs, qui est connu pour cibler les organisations au Moyen-Orient.

“AridViper est un groupe de menace actif qui continue de développer de nouveaux outils dans le cadre de son arsenal”, ont déclaré des chercheurs de l’équipe de recherche Unit42 de Palo Alto dans une analyse. «De plus, en se basant sur les différents aspects de PyMicropsia que nous avons analysés, plusieurs sections du malware ne sont toujours pas utilisées, ce qui indique qu’il s’agit probablement d’une famille de malwares en cours de développement actif par cet acteur.»

dridex 5ss5c

Les capacités de vol d’informations du cheval de Troie incluent le téléchargement de fichiers, le téléchargement/l’exécution de charges utiles, le vol d’informations d’identification du navigateur (et la possibilité d’effacer l’historique de navigation et les profils), la prise de captures d’écran et l’enregistrement de frappe. En outre, le logiciel malveillant peut collecter des informations de liste de fichiers, supprimer des fichiers, redémarrer des machines, collecter des informations à partir d’une clé USB et enregistrer de l’audio; ainsi que de récolter les fichiers Outlook .OST et de tuer/désactiver les processus Outlook.

Un fichier OST, également connu sous le nom de fichier de données Outlook hors ligne, est utilisé par les comptes Microsoft, les comptes Exchange et les comptes Outlook.com «pour stocker une copie synchronisée des informations de votre boîte aux lettres sur votre ordinateur local», selon Microsoft. Les fichiers OST peuvent contenir des e-mails, des contacts, des tâches, des données de calendrier et d’autres informations de compte.

Le cheval de Troie PyMicropsia

Le cheval de Troie a été transformé en exécutable Windows par PyInstaller, un package Python permettant aux applications de devenir des exécutables autonomes. Une fois téléchargé, le malware “implémente sa fonctionnalité principale en exécutant une boucle, où il initialise différents threads et appelle périodiquement plusieurs tâches dans le but de collecter des informations et d’interagir avec l’opérateur C2”, selon les chercheurs.

L’acteur de la menace utilise à la fois des bibliothèques Python intégrées et des packages spécifiques à des fins de vol d’informations – y compris PyAudio (permettant des capacités de vol audio) et mss (permettant des capacités de capture d’écran).

«L’utilisation des bibliothèques intégrées Python est prévue à des fins multiples, telles que l’interaction avec les processus Windows, le registre Windows, la mise en réseau, le système de fichiers, etc.», ont déclaré les chercheurs.

pymicropsia

PyMicropsia semble partager des similarités avec la famille de logiciels malveillants Micropsia, un autre malware d’AridViper connu pour cibler Microsoft Windows. Ces liens incluent des chevauchements de code; des tactiques, techniques et procédures (TTP) similaires, telles que l’utilisation de rar.exe pour compresser les données en vue de leur exfiltration et des structures de chemin URI de communication de commande et de contrôle (C2) similaires.

Micropsia a également fait référence à des thèmes spécifiques dans les implémentations de code et de serveur C2 – y compris des références précédentes à des émissions de télévision telles que The Big Bang Theory et Game of Thrones. Il convient de noter que dans les variables de code de PyMicropsia, les chercheurs ont trouvé des références à plusieurs noms d’acteurs célèbres, tels que les acteurs Fran Drescher et Keanu Reeves, ce qui «semble conforme aux observations précédentes de thèmes», ont déclaré les chercheurs.

AridViper: Développement Actif

Lors de leur enquête sur les capacités de PyMicropsia, les chercheurs ont déclaré avoir également identifié deux échantillons supplémentaires hébergés dans l’infrastructure de l’attaquant.

Les échantillons supplémentaires, qui sont téléchargés et utilisés par le cheval de Troie lors de son déploiement, fournissent des capacités de persistance et d’enregistrement de frappe. Ils ne sont pas basés sur Python/PyInstaller.

Alors que PyMicropsia est conçu pour cibler uniquement les systèmes d’exploitation Windows, les chercheurs ont trouvé des extraits dans le code qui vérifient les autres systèmes d’exploitation (tels que «posix» ou «darwin»). Posix, ou l’interface du système d’exploitation portable, est une famille de normes utilisées pour maintenir la compatibilité entre les systèmes d’exploitation et Darwin est un système d’exploitation open source de type Unix.

«C’est une découverte intéressante, car nous n’avons jamais vu AridViper cibler ces systèmes d’exploitation auparavant et cela pourrait représenter un nouveau domaine que l’acteur commence à explorer», ont-ils déclaré. “Pour l’instant, le code trouvé est très simple et pourrait faire partie d’un effort de copier-coller lors de la construction du code Python, mais dans tous les cas, nous prévoyons de le garder sur notre radar tout en recherchant de nouvelles activités.”

Si cet article vous a plu, jetez un œil à notre article précédent.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires