CASHY200

CASHY200 est le nom donné par les chercheurs à une menace de porte dérobée basée sur PowerShell. Ce malware particulier a été détecté en raison de son infrastructure de commande et de contrôle (C2, C&C) utilisant un domaine - "windows64x.com'', qui faisait auparavant partie d'une campagne d'attaque contre des organisations koweïtiennes des secteurs du transport et de l'expédition. Le profil des cibles semble également être en grande partie le même, mais cette fois, les victimes étaient des organisations gouvernementales koweïtiennes. Bien que les chevauchements semblent trop spécifiques pour être accidentels, il n'est pas possible d'affirmer avec une assurance à 100% que les mêmes acteurs de la menace sont également les pirates derrière CASHY200.

Le vecteur d'infection utilisé pour diffuser CASHY200 est principalement des documents Word militarisés propagés par la diffusion d'e-mails de phishing. Les documents menaçants utilisaient plusieurs noms différents en arabe, tandis que l'un était livré sous la forme «Update list soft-Ad.docm».

Lorsqu'il est déployé sur l'ordinateur ciblé, CASHY200 initie la communication avec ses serveurs C2 via un tunnel DNS. Plus précisément, la menace envoie des requêtes DNS A au serveur de l'attaquant. Le trafic entrant est analysé avec les réponses DNS pour les commandes applicables tandis que les résultats suivants sont renvoyés aux serveurs à nouveau via des requêtes DNS. CASHY200 a été observé pour utiliser des modificateurs générés aléatoirement stockés dans le registre à HKCU \ Software \ Microsoft \ Cashe \ index.

Les versions ultérieures de CASHY200 sont capables de reconnaître deux commandes distinctes émises par les serveurs C2. Le premier voit la menace exécuter la commande 'hostname' puis exfiltrer le résultat. L'autre commande possible indique à CASHY200 d'exécuter les commandes obtenues à partir des requêtes DNS suivantes, les résultats étant à nouveau exfiltrés vers le C2 via le tunnel DNS.