DropBook Backdoor
La porte dérobée DropBook est l'une des deux menaces de porte dérobée qui est exercée contre des personnalités politiques de haut rang et des représentants du gouvernement en Égypte, dans les Territoires palestiniens, en Turquie et aux Émirats arabes unis par les pirates de l'APT MoleRats (Advanced Persistent Threat). Opérationnel depuis au moins 2012, les MoleRats ont montré un intérêt durable pour les régions du Moyen-Orient et de l'Afrique du Nord. Les pirates informatiques déploient généralement des e-mails de phishing qui utilisent des documents traitant d'événements importants dans les régions sélectionnées pour inciter les utilisateurs à télécharger un fichier compromis.
DropBook Backdoor est une menace basée sur Python compilée à l'aide de PyInstaller. Lorsqu'elle est entièrement déployée, la menace peut exécuter des commandes arbitraires, récupérer et installer des programmes supplémentaires et des charges utiles menaçantes, exécuter des commandes shell fournies par les pirates. Pour confirmer qu'il infecte une cible appropriée, DropBook Backdoor vérifie la présence de la langue arabe sur l'ordinateur compromis. Un autre paramètre qui peut empêcher le démarrage de la porte dérobée est s'il détecte qu'aucun WinRAR n'est installé sur la cible. Parmi les charges utiles supplémentaires abandonnées par DropBook Backdoor, les chercheurs d'Infosec ont détecté le framework d'accès à distance Quasar RAT. Bien que Quasar soit un outil menaçant, il offre aux cybercriminels un moyen simple d'établir des routines d'enregistrement de frappe, d'écoute clandestine et de collecte de données sur le système infecté.
Les pirates informatiques MoleRats ont intégré la tendance croissante des acteurs de la menace à utiliser rapidement des services cloud légitimes et des plates-formes sociales dans le cadre de la structure Command-and-Control (C2, C&C) de leurs créations de logiciels malveillants. En effet, DropBook utilise de faux comptes Facebook ou Simmplenote comme canal de communication avec le C2. En même temps, il exploite Dropbox comme stockage pour les données utilisateur volées et comme service d'hébergement pour les charges utiles d'espionnage supplémentaires.
