Trois nouvelles familles de malwares découvertes



Trois nouvelles familles de malwares découvertes

Doubledrag, Doubledrop et Doubleback sont l’œuvre de cyberattaquants « expérimentés » et dont les motivations pourraient être d’ordre financier, si on se réfère à leur modus operandi.

Des chercheurs en sécurité ont découvert trois nouvelles familles de malwares, utilisées dans une vaste campagne de phishing ancrée dans la criminalité financière.


Mardi, l’équipe de cybersécurité Mandiant de FireEye a révélé l’existence de trois souches de logiciels malveillants, baptisées Doubledrag, Doubledrop et Doubleback, et détectées en décembre 2020. Leurs créateurs seraient « expérimentés et disposant de ressources importantes », d’après les chercheurs. Ils sont suivis sous le nom de UNC2529.


Jusqu’à maintenant, des organisations basées aux Etats-Unis, en Europe, en Asie et en Australie ont été ciblées, au cours de deux vagues d’attaques distinctes.


Une campagne de phishing

Les messages de phishing envoyés se basaient rarement sur la même adresse e-mail, et l’objet du message était adapté à la cible. Dans de nombreux cas, les attaquants se sont fait passer pour des responsables de comptes, vantant des services adaptés au secteur ciblé : défense, médecine, transports, électronique, etc.


Plus de 50 domaines, au total, ont été utilisés pour gérer le système de phishing mondial. Lors d’une cyberattaque, UNC2529 a réussi à compromettre un domaine appartenant à une entreprise américaine proposant des services de chauffage et de climatisation, à modifier ses enregistrements DNS et à utiliser cette structure pour lancer des attaques de phishing contre au moins 22 organisations.


Les courriels d’hameçonnage contenaient des liens vers des URL menant à des charges utiles malveillantes au format PDF, et à un fichier JavaScript associé contenu dans une archive .zip. Les documents, récupérés auprès de sources publiques, étaient corrompus de manière à les rendre illisibles. On pense donc que les victimes auraient pu vouloir double-cliquer sur le fichier .js afin d’en lire le contenu.


Installation d’une porte dérobée


Selon Mandiant, le fichier .js, fortement obscurci, contient le téléchargeur Doubledrag. Par ailleurs, certaines campagnes ont utilisé un document Excel contenant une macro intégrée pour transmettre la même charge utile.


Lors de son exécution, Doubledrag tente de télécharger un dropper, deuxième étape de la chaîne d’attaque. Ce dropper, Doubledrop, est un script PowerShell obscurci conçu pour prendre pied sur une machine infectée en chargeant une porte dérobée en mémoire.

La porte dérobée est le composant final du malware, Doubleback, créé à la fois en version 32 et 64 bits. « Une fois qu’elle a le contrôle de l’exécution, la porte dérobée charge ses plug-in, puis entre dans une boucle de communication, récupérant les commandes de son serveur C2 [commande et contrôle] et les distribuant », note Mandiant. « Un fait intéressant concernant l’ensemble de l’écosystème est que seul le téléchargeur existe dans le système de fichiers. Le reste des composants est sérialisé dans la base de données du registre, ce qui rend leur détection un peu plus difficile, notamment par les moteurs antivirus basés sur les fichiers. »

Un malware en cours de développement

Certains indicateurs montrent que le logiciel malveillant est toujours en cours d’élaboration, car la fonctionnalité existante recherche l’existence de produits antivirus – comme ceux proposés par Kaspersky et BitDefender – mais même s’ils sont détectés, aucune action n’est entreprise. L’analyse des nouvelles souches de malwares est en cours.

« Même si Mandiant ne dispose d’aucune preuve sur les objectifs de ces cyberattaquants, son large ciblage en termes de secteurs d’activité et de zones géographiques correspond à des caractéristiques plus communément observées chez des groupes à motivation financière », indiquent les chercheurs.



Pour plus d’information : https://www.zdnet.fr/actualites/cybersecurite-trois-nouvelles-familles-de-malwares-decouvertes-39922183.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Categories:

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité