Devis de remise multi-licences
Données concernant les menaces Cheval de Troie bancaire Cheval de Troie bancaire Blackmoon

Cheval de Troie bancaire Blackmoon

Par Mezo en Cheval de Troie bancaire, Menace persistante avancée (APT)
Se traduisent par :

Des analystes en cybersécurité ont mis au jour une campagne d'intrusion active en plusieurs étapes visant des individus et des organisations indiennes. Cette opération, qui semble relever du cyberespionnage, repose sur une architecture de portes dérobées à plusieurs niveaux permettant d'obtenir un accès clandestin et durable à des systèmes compromis.

Le phishing comme vecteur d’infection initial

La campagne débute par des courriels d'hameçonnage se faisant passer pour des correspondances officielles du service des impôts indien. Ces messages incitent les destinataires à télécharger une archive ZIP sous prétexte d'avis de pénalité fiscale. Une fois ouverte, l'archive déclenche une chaîne d'infection permettant une surveillance continue et le vol de données.

Archives militarisées et exécution furtive

Le fichier ZIP fourni contient cinq composants, tous dissimulés à l'exception d'un exécutable leurre nommé « Inspection Document Review.exe ». Ce fichier est exploité pour charger une bibliothèque de liens dynamiques malveillante intégrée à l'archive. Cette bibliothèque malveillante effectue des tests d'évasion de débogage et communique avec un serveur de commande et de contrôle distant afin de récupérer la charge utile suivante.

Élévation des privilèges et usurpation d’identité

Le shellcode téléchargé exploite une technique basée sur COM pour contourner le contrôle de compte d'utilisateur (UAC) et obtenir des privilèges élevés. Il modifie ensuite son propre bloc d'environnement de processus (PEB) pour imiter le processus légitime explorer.exe de Windows, réduisant ainsi les risques de détection par les outils et analystes de sécurité.

Livraison de charge utile adaptative

Dans une étape ultérieure, le fichier « 180.exe » est récupéré depuis le domaine eaxwwyr[.]cn. Il s'agit d'un programme d'installation Inno Setup 32 bits dont le déroulement est modifié selon la présence ou non d'un logiciel de sécurité spécifique sur l'hôte infecté, permettant ainsi au logiciel malveillant d'adapter dynamiquement ses tactiques d'évasion.

Évasion des logiciels de sécurité et lien avec Blackmoon

Lorsqu'un logiciel de protection est détecté, le malware évite sa désactivation directe. Au lieu de cela, il simule des mouvements de souris pour naviguer dans l'interface de sécurité et ajouter discrètement des composants malveillants à la liste d'exclusion. Cette activité est facilitée par une DLL identifiée comme une variante de la famille de malwares Blackmoon (KRBanker), historiquement associée à des attaques contre des entreprises en Corée du Sud, aux États-Unis et au Canada depuis son apparition en 2015.

Utilisation abusive d’un outil d’entreprise légitime

Parmi les fichiers ajoutés à la liste d'exclusion figure « Setup.exe », un utilitaire légitime de SyncFutureTec Company Limited. Ce programme installe « mysetup.exe », identifié comme SyncFuture TSM (Terminal Security Management), une solution commerciale de surveillance et de gestion à distance développée par Nanjing Zhongke Huasai Technology Co., Ltd. Bien que conçue pour l'administration d'entreprise, elle est détournée dans cette campagne en une plateforme d'espionnage complète.

Composants de support et manipulation du système

Après le déploiement, des éléments supplémentaires sont installés pour préparer et contrôler l'environnement :

  • Scripts batch permettant de créer des répertoires personnalisés, de modifier les listes de contrôle d'accès, de modifier les autorisations du bureau et d'effectuer des tâches de nettoyage et de restauration.
  • Un fichier exécutable orchestrateur, « MANC.exe », qui coordonne les services et permet une journalisation détaillée des activités.

Impact opérationnel et importance stratégique

En exploitant un outil d'entreprise légitime conjointement à un logiciel malveillant personnalisé, les opérateurs obtiennent un contrôle à distance des terminaux infectés, une visibilité continue sur l'activité des utilisateurs et un mécanisme centralisé d'exfiltration de données sensibles. L'utilisation coordonnée du chargement latéral de DLL, de l'élévation de privilèges, du détournement d'outils commerciaux, des mesures anti-analyse et du contournement des logiciels de sécurité témoigne d'une grande maturité technique et d'une volonté manifeste de maintenir un contrôle précis et permanent sur les systèmes compromis.

Tendance

Arnaque par e-mail : changement de statut du compte...

Hameçonnage, Courrier indésirable
Il est crucial de rester vigilant face aux courriels inattendus dans le contexte actuel des menaces informatiques. Les cybercriminels usurpent régulièrement l'identité de services connus afin de créer un faux sentiment d'urgence et de confiance. Les courriels intitulés « Changement de statut du compte cPanel » en sont un exemple flagrant : ils sont totalement frauduleux et n'ont...

Le plus regardé

Chargement...