Logiciel malveillant PowerPepper

PowerPepper est une nouvelle menace de malware de porte dérobée observée dans le cadre des opérations d'un groupe de menaces persistantes avancées (APT) nommé DeathStalker. On pense que cet APT agit en tant que mercenaire et offre ses services au plus offrant. Le groupe a été détecté pour la première fois en 2018, mais on pense qu'il a été créé beaucoup plus tôt. Les hackers de DeathStalker se spécialisent principalement dans la réalisation de campagnes d'espionnage et de vol de données ciblant des entités européennes. Cependant, des victimes de DeathStalker d'Amérique du Nord et du Sud, ainsi que d'Asie, ont également été identifiées. La boîte à outils du groupe contre les logiciels malveillants se compose de menaces relativement peu sophistiquées, mais présente des niveaux d'efficacité élevés.

PowerPepper correspond très bien à cette description. La menace est capable de puissantes activités de porte dérobée car elle peut exécuter des commandes shell distantes reçues de son infrastructure de commande et de contrôle (C&C, C2). La menace peut exécuter un large éventail de fonctions d'espionnage sur la machine compromise, y compris la collecte de diverses informations sur les utilisateurs et les fichiers, la navigation dans les partages de fichiers réseau, la récupération de binaires corrompus supplémentaires et l'exfiltration de l'infrastructure C2 de données. On pense que le vecteur de compromis initial est la distribution d'e-mails de spear-phishing. Les fichiers malveillants initiaux peuvent être attachés au corps de l'e-mail ou cachés derrière des liens corrompus.

L'aspect le plus impressionnant de PowerPepper est la multitude de techniques d'évasion dont il dispose. Premièrement, il ignore HTTPS et utilise à la place le DNS comme canal de communication avec ses serveurs C2. Le malware envoie des requêtes DNS de type TXT et, en retour, a reçu une réponse DNS avec une commande cryptée intégrée. PowerPepper tire également parti d'une technique de stéganographie - des parties du code corrompu de la menace sont cachées dans des fichiers image apparemment inoffensifs. Ceux utilisés par la menace représentent soit des fougères, soit des poivrons (la raison du nom donné à cette porte dérobée particulière). Le script de chargement chargé d'extraire les informations des fichiers image se fait à son tour se faire passer pour un outil de vérification de GlobalSign, un fournisseur de services d'identité.

De plus, PowerPepper utilise une obfuscation personnalisée, une communication chiffrée et exploite des scripts signés qui pourraient tromper les logiciels anti-malware. DeathStalker a également équipé son nouvel outil de porte dérobée pour filtrer les adresses MAC des clients, la gestion des applications Excel et une fonction chargée de détecter les mouvements de la souris.