forceCopy Stealer
Le groupe de hackers Kimsuky, lié à la Corée du Nord, a été découvert en train d'utiliser des attaques de spear-phishing pour diffuser un nouveau malware de vol d'informations appelé forceCopy. Ces attaques commencent par des e-mails de phishing contenant un fichier de raccourci Windows déguisé (LNK), conçu pour ressembler à un document Microsoft Office ou PDF. Les destinataires qui ouvrent le fichier sans s'en rendre compte déclenchent une réaction en chaîne qui exécute des commandes malveillantes.
Table des matières
Exploiter des outils légitimes pour diffuser des charges utiles menaçantes
Une fois que l'utilisateur interagit avec la pièce jointe malveillante, le processus d'infection commence par l'exécution de PowerShell ou de « mshta.exe », un utilitaire Windows légitime utilisé pour exécuter des fichiers d'application HTML (HTA). Cette technique permet aux attaquants de récupérer et de déployer des charges utiles de malware supplémentaires à partir d'une source externe sans éveiller les soupçons.
Déploiement de chevaux de Troie et d’outils de bureau à distance
Les attaques aboutissent finalement au déploiement de menaces connues, notamment le cheval de Troie PEBBLEDASH et une version modifiée de RDP Wrapper, un outil open source utilisé pour l'accès au bureau à distance. Parallèlement à cela, des logiciels malveillants proxy sont introduits pour assurer une connexion continue entre l'appareil compromis et le réseau externe des attaquants via le protocole RDP (Remote Desktop Protocol).
Un enregistreur de frappe et forceCopy : cibler les informations d’identification stockées
Kimsuky a également été vu en train d'utiliser un enregistreur de frappe basé sur PowerShell pour capturer les frappes au clavier, améliorant ainsi encore sa capacité à voler des informations sensibles. De plus, le malware forceCopy récemment découvert est spécifiquement conçu pour extraire les fichiers stockés dans les répertoires des navigateurs Web. Cela suggère une tentative de contournement des restrictions de sécurité et d'accès direct aux fichiers de configuration du navigateur où les identifiants de connexion sont souvent stockés.
Un changement stratégique : utiliser RDP pour le contrôle de l’hôte
Le recours du groupe à RDP Wrapper et aux malwares proxy met en évidence un changement tactique dans ses opérations. Auparavant, Kimsuky utilisait principalement des portes dérobées personnalisées pour contrôler les systèmes infectés. Désormais, en exploitant des outils largement disponibles, ils visent à maintenir la persistance tout en réduisant les risques de détection.
APT43 : une menace de cyberespionnage de longue date
Kimsuky, également connu sous les pseudonymes APT43, Black Banshee et Emerald Sleet, opérerait sous l'égide du Bureau général de reconnaissance (RGB) de la Corée du Nord, le principal service de renseignement étranger du pays. Actif depuis au moins 2012, le groupe a une longue histoire d'attaques sophistiquées d'ingénierie sociale pour contourner les défenses de sécurité des e-mails.
Élargissement des opérations grâce à des campagnes de phishing basées en Russie
Des découvertes récentes indiquent que Kimsuky a utilisé des e-mails de phishing envoyés par des services de messagerie russes pour mener des campagnes de vol d'identifiants. Cette adaptation, observée en décembre 2024, reflète l'évolution des tactiques du groupe alors qu'il continue d'affiner ses techniques d'ingénierie sociale pour cibler des individus et des organisations de grande valeur.
