Logiciel malveillant HTTPSnoop

Une vague de cyberattaques ciblant les fournisseurs de services de télécommunications au Moyen-Orient a été liée au déploiement de nouvelles souches de logiciels malveillants connues sous le nom de HTTPSnoop et PipeSnoop. Ces outils menaçants permettent aux acteurs malveillants de prendre le contrôle à distance des appareils compromis.

Le malware HTTPSnoop exploite les pilotes et périphériques du noyau HTTP Windows pour exécuter du contenu spécifique sur les points finaux infectés via des URL HTTP(S). D'un autre côté, PipeSnoop est conçu pour recevoir et exécuter des shellcodes arbitraires via un canal nommé.

Selon un rapport publié par des chercheurs en cybersécurité qui ont réussi à découvrir cette campagne d'attaque, HTTPSnoop et PipeSnoop sont attribués au même groupe d'intrusion, identifié comme « ShroudedSnooper ». Toutefois, les deux menaces répondent à des objectifs opérationnels distincts en termes de niveau d’infiltration.

Le logiciel malveillant HTTPSnoop effectue des actions spécialisées pour les attaquants

HTTPSnoop utilise des API Windows de bas niveau pour surveiller le trafic HTTP(S) sur un appareil infecté, en ciblant spécifiquement les URL prédéfinies. Après avoir détecté ces URL, le logiciel malveillant procède au décodage des données entrantes codées en base64 et les exécute en tant que shellcode sur l'hôte compromis.

Cet implant dangereux, activé sur le système cible via un détournement de DLL, comprend deux composants clés : d'abord, le shellcode de niveau 2, responsable de la mise en place d'un serveur Web de porte dérobée via des appels au noyau, et ensuite, sa configuration.

HTTPSnoop établit une boucle d'écoute, attendant patiemment les requêtes HTTP entrantes et traite efficacement les données valides dès leur arrivée. Dans les cas où les données entrantes ne sont pas valides, le malware renvoie une redirection HTTP 302.

Lors du déchiffrement du shellcode reçu, celui-ci est rapidement exécuté et les résultats de l'exécution sont renvoyés aux attaquants sous la forme de blocs de données codés XOR en base64.

De plus, cet implant prend des précautions pour éviter les conflits avec les URL précédemment configurées sur le serveur, garantissant ainsi un fonctionnement fluide sans conflits involontaires.

Les experts ont découvert plusieurs variantes de logiciels malveillants HTTPSnoop

Il existe trois variantes distinctes de HTTPSnoop observées jusqu'à présent, chacune utilisant des modèles d'écoute d'URL uniques. La première variante surveille les requêtes générales basées sur les URL HTTP, tandis que la deuxième variante se concentre sur les URL qui imitent le service Web Microsoft Exchange. La troisième variante, quant à elle, cible les URL qui émulent les applications LBS/OfficeTrack et de téléphonie d'OfficeCore.

Ces variantes ont été découvertes en avril 2023 et, notamment, la plus récente surveille un nombre réduit d’URL, ce qui est susceptible d’améliorer ses capacités furtives.

En imitant les modèles d'URL légitimes associés aux services Web Microsoft Exchange et à OfficeTrack, ces demandes frauduleuses ressemblent étroitement à un trafic inoffensif, ce qui rend extrêmement difficile leur distinction des demandes légitimes.

Le paysage en constante évolution des logiciels malveillants constitue une menace formidable et persistante à notre ère numérique. Les logiciels malveillants ne sont pas simplement une nuisance mais un redoutable adversaire capable de faire des ravages sur les individus, les organisations et même les nations. La vigilance, l'éducation et des mesures de cybersécurité robustes sont nos meilleures défenses contre cette menace implacable. Rester informé et adopter les meilleures pratiques en matière de sécurité en ligne n'est pas seulement un choix ; c'est une nécessité pour sauvegarder nos vies numériques et préserver l'intégrité de notre monde interconnecté.