Opération d'attaque SteganoAmor
Le groupe de piratage TA558 a lancé une nouvelle campagne, utilisant la stéganographie pour intégrer du code nuisible dans les images. Cette technique leur permet de distribuer clandestinement une gamme d'outils malveillants sur des systèmes spécifiques, échappant ainsi à la détection des utilisateurs et des logiciels de sécurité.
Depuis 2018, TA558 constitue une menace importante, ciblant principalement les entités hôtelières et touristiques du monde entier, avec un accent particulier sur l'Amérique latine. Récemment, des experts en cybersécurité ont dévoilé leur dernière initiative, appelée « SteganoAmor », soulignant sa forte dépendance à la stéganographie. L'analyse a révélé plus de 320 attaques associées à cette campagne, impactant divers secteurs et pays.
Table des matières
SteganoAmor commence par la diffusion d'e-mails frauduleux
L'attaque commence par des e-mails trompeurs contenant des pièces jointes apparemment inoffensives, généralement au format Excel ou Word, exploitant la vulnérabilité CVE-2017-11882. Cette faille, qui affectait Microsoft Office Equation Editor et qui a été corrigée en 2017, fait office de cible commune. Ces e-mails sont envoyés à partir de serveurs SMTP compromis pour renforcer leur légitimité et réduire le risque d'être bloqué.
Dans les cas où une version obsolète de Microsoft Office est utilisée, l'exploit déclenche le téléchargement d'un script Visual Basic (VBS) à partir du service légitime « coller à l'ouverture du fichier.ee ». Par la suite, ce script est exécuté pour récupérer un fichier image (JPG) contenant une charge utile codée en base 64. Au sein du script intégré à l'image, le code PowerShell facilite la récupération de la charge utile finale, dissimulée dans un fichier texte et codée au format base64 inversé.
De nombreuses menaces nuisibles déployées comme charges utiles finales
Les chercheurs ont observé de nombreuses itérations de la chaîne d’attaque, chacune introduisant un large éventail de familles de logiciels malveillants. Parmi ceux-ci figurent AgentTesla , fonctionnant comme un logiciel espion capable d'enregistrer des frappes et de voler des informations d'identification ; FormBook, spécialisé dans la collecte d'informations d'identification et l'exécution de commandes à distance ; Remcos , permettant la gestion et la surveillance des machines à distance ; LokiBot , ciblant les données sensibles de diverses applications ; Gulo a der, servant de téléchargeur pour les charges utiles secondaires, Snake Keylogger , capturant les frappes et les informations d'identification et XWorm , accordant un accès à distance aux ordinateurs compromis.
Les charges utiles finales et les scripts frauduleux trouvent souvent refuge dans des services cloud réputés comme Google Drive pour exploiter leur réputation favorable et échapper à la détection des logiciels malveillants. Les informations collectées sont transmises à des serveurs FTP légitimes et compromis, masquant le trafic pour qu'il paraisse normal. Plus de 320 attaques ont été identifiées, se concentrant principalement sur les pays d’Amérique latine, bien que la portée du ciblage s’étende à l’échelle mondiale.
Le phishing reste un outil extrêmement puissant dans l'arsenal des cybercriminels
Une série d'attaques de phishing lancées par des cybercriminels ciblant des organisations gouvernementales en Russie, en Biélorussie, au Kazakhstan, en Ouzbékistan, au Kirghizistan, au Tadjikistan et en Arménie ont été mises en lumière par des experts en sécurité de l'information. Ces attaques déploient un malware appelé LazyStealer, spécialement conçu pour extraire les informations d'identification de Google Chrome. Les chercheurs surveillent cette série d’attaques, collectivement appelées Lazy Koala, du nom du prétendu contrôleur des robots Telegram qui reçoivent les données volées.
En outre, l'analyse des données démographiques des victimes et des caractéristiques des logiciels malveillants suggère des liens potentiels avec un autre groupe de piratage connu sous le nom de YoroTrooper (également connu sous le nom de SturgeonPhisher). Le principal outil utilisé par ce groupe est un voleur rudimentaire, qui utilise des mesures de protection pour échapper à la détection, entraver l'analyse, collecter toutes les données volées et les transmettre via Telegram. Telegram est de plus en plus privilégié par les acteurs malveillants comme moyen de communication sécurisé.
