Table des matières
- Chaîne de Fichiers Malveillants
- Exemple d’Attaque : Fichier LNK Déguisé
- Scripts Malveillants : Fonctionnement
- Utilisation de Dropbox pour le Téléchargement de Scripts Malveillants
- Scripts Malveillants : Documents Leurres et Thèmes d’Ingénierie Sociale
- Téléchargement et Exécution des Scripts Malveillants
- Scripts Malveillants : Collecte d’Informations et Espionnage
- Téléchargement de Logiciels Malveillants Supplémentaires
- Scripts Malveillants : Exécution et Contrôle à Distance
Les pirates informatiques exploitent des services de stockage en ligne comme Google Drive, OneDrive et Dropbox. Ils s’en servent pour diffuser des scripts malveillants et voler des informations des utilisateurs. Ils téléchargent des fichiers dangereux tels que des scripts, des chevaux de Troie d’accès à distance (RAT) et des documents trompeurs. Ces fichiers peuvent installer d’autres logiciels malveillants ou exposer des données sensibles.
Chaîne de Fichiers Malveillants
D’abord, les attaques commencent souvent par un fichier de raccourci (LNK) qui récupère et exécute d’autres composants malveillants stockés en ligne. Ce processus permet aux attaquants de facilement mettre à jour les logiciels malveillants et de déployer de nouvelles fonctionnalités nuisibles.
Exemple d’Attaque : Fichier LNK Déguisé
Ensuite, un fichier LNK déguisé nommé “Police Cyber Investigation Bureau-Internet Use History (check now to keep your PC safe).html.lnk” lance un script PowerShell. Ainsi, ce script décode une charge utile codée en Base64 contenant des commandes PowerShell. Ces commandes sont ensuite enregistrées dans un fichier temporaire nommé ms_temp_08.ps1 dans le répertoire TEMP de l’utilisateur. Le script contourne les restrictions de la politique d’exécution et exécute le fichier PowerShell temporaire en arrière-plan.
Scripts Malveillants : Fonctionnement
En outre, le script ms_temp_08.ps1 télécharge un document leurre et l’exécute. Ensuite, il crée un nouveau script PowerShell nommé ms_update.ps1, l’enregistre dans le dossier TEMP, et programme son exécution toutes les 30 minutes via le planificateur de tâches. Après cela, il télécharge également un autre fichier, SoJ****-F.txt, et l’enregistre sous first.ps1 pour exécution ultérieure.
Utilisation de Dropbox pour le Téléchargement de Scripts Malveillants
Par ailleurs, le script ms_update.ps1 utilise Dropbox pour télécharger un script secondaire, info.ps1, depuis le stockage contrôlé par les pirates. En plus, ce script est déguisé en fichier temporaire dans le système de la victime. Les analyses du AhnLab Security Intelligence Center (ASEC) ont révélé que Dropbox contenait des documents leurres de différents formats (HTML, Word, HWP, et PDF). Ces documents sont placés stratégiquement pour dissimuler leur intention malveillante.
Scripts Malveillants : Documents Leurres et Thèmes d’Ingénierie Sociale
Les documents leurres utilisent des thèmes variés comme des demandes de coopération universitaire, des confirmations de livraison, et des affaires étrangères pour piéger des victimes spécifiques. En plus, les pirates comptent souvent sur des techniques d’ingénierie sociale pour réussir leurs attaques.
Téléchargement et Exécution des Scripts Malveillants
Par ailleurs, un fichier LNK télécharge deux scripts PowerShell (first.ps1 et info.ps1) à partir du stockage cloud des pirates. Ainsi, les scripts, adaptés aux cibles potentielles, sont récupérés d’un autre stockage cloud, parfois différent de Dropbox. Chaque cible semble avoir un dossier dédié contenant un document leurre et deux scripts. Les scripts utilisent des jetons Dropbox volés pour s’authentifier.
Scripts Malveillants : Collecte d’Informations et Espionnage
Le script first.ps1 agit comme un logiciel espion, collectant des informations sur le système, telles que la version du système d’exploitation, les logiciels de sécurité, l’heure de démarrage, le type de machine et les processus en cours. Il peut même accéder aux paramètres de sécurité PowerShell.
Téléchargement de Logiciels Malveillants Supplémentaires
Le script info.ps1 télécharge un fichier sur la Dropbox des pirates et télécharge d’autres logiciels malveillants depuis Google Drive. Le fichier téléchargé vérifie l’exécution du script et divulgue des informations en cas de modification.
Scripts Malveillants : Exécution et Contrôle à Distance
Enfin, le logiciel malveillant téléchargé se déguise en fichier compressé et utilise une signature de fichier personnalisée pour ressembler à un document RTF. Une fois décompressé, un fichier C# (.NET) est exécuté en mémoire via la réflexion. Le fichier système-xn.dat lance le logiciel malveillant XenoRAT, permettant aux pirates de contrôler à distance l’appareil infecté. XenoRAT peut installer d’autres logiciels malveillants, manipuler des processus et communiquer avec un serveur de commande et de contrôle pour recevoir des instructions supplémentaires.
Pour plus d’articles sur la cybersécurité, visitez régulièrement GeekFrance.fr.