Sihost

Les manifestations à Hong Kong durent depuis un certain temps déjà et le gouvernement chinois semble perdre patience et recourir à des techniques novatrices. Récemment, il a été découvert que Pékin avait employé un acteur menaçant pour viser les manifestants à Hong Kong. Les manifestants ciblés recevraient un e-mail masqué comme un message d'un étudiant en droit de l'Ouest. Dans le message, les assaillants font semblant d'être intéressés par les manifestations et demandent au destinataire des «recommandations pour mettre fin aux manifestations de Hong Kong». Les attaquants joindraient trois fichiers à l'e-mail frauduleux - deux authentiques et un qui apparaît comme un '. RTF 'document mais est un'. Fichier LNK. Masquer ce fichier corrompu comme un document inoffensif se fait en utilisant une double extension, une astuce plutôt ancienne mais efficace.

Utilise un fichier '.PNG' masqué comme une image

Le '. Les fichiers de LNK servent de lien, et dans le cas de cette campagne de Pékin, le '. Le fichier LNK mène à un fichier «msiexec.exe», qui est authentique. Le '. Le fichier LNK qui est attaché au faux courriel doit exécuter le fichier 'msiexec.exe' et le faire télécharger un fichier à partir de GitHub. Le fichier en question semble être un '. PNG 'image, mais il fonctionne comme un exécutable. Cet exécutable est utilisé pour générer des centaines de faux fichiers. Parmi eux se trouve la charge initiale qui se trouve dans 'siHost64'.

Les capacités

Le dossier% APPDATA% contiendrait un script Python appelé «siHost64». Ce script est destiné à:

• Gagnez en persistance en altérant le registre Windows.
• Établissez une connexion avec le serveur C&C (Command & Control) des attaquants, qui fonctionne à l'aide de l'API DropBox.
• Utilise le serveur C&C pour récupérer des fichiers contenant des commandes chiffrées. Lors du décryptage des commandes, la menace les exécutera. Les résultats de ces actions sont stockés dans un nouveau fichier crypté. La menace exfiltrera le fichier sur le serveur C & C périodiquement.

Dans son essence, la menace Sihost est un outil d'espionnage. Ce cheval de Troie de porte dérobée permettra à ses opérateurs de collecter des informations sur l'hôte compromis et de les transférer vers le serveur des attaquants.

Il est clair que le logiciel malveillant Sihost n’est pas destiné à cibler des utilisateurs aléatoires. Cette menace présente un taux d'infection très faible et ses victimes semblent se trouver dans la région chinoise, ce qui laisse croire aux experts que le cheval de Troie Sihost a été conçu pour cibler exclusivement les manifestants de Honk Kong. La menace est très bien développée et il est clair que des cybercriminels expérimentés ont créé le cheval de Troie de porte dérobée Sihost.