Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader Logiciel malveillant SkinnyBoy

Logiciel malveillant SkinnyBoy

Par CagedTech en Trojan Downloader
Se traduisent par :
Français

Les experts Infosec de la société de recherche sur les menaces Cluster 25 ont découvert une nouvelle campagne de spear-phishing contre des entités stratégiques. Dans le cadre de la chaîne d'attaque, les chercheurs ont découvert une nouvelle menace de malware qui agissait comme un téléchargeur à mi-parcours chargé de fournir la charge utile menaçante finale sur les systèmes violés. Nommé SkinnyBoy, le malware a été attribué à faire partie de l'arsenal nuisible du gang russophone APT28. Cet acteur de menace particulier est également plaqué sous les noms de Fancybear, Sednit, Strontium, PwnStorm et Sofacy.

Caractéristiques de SkinnyBoy

L'attaque SkinnyBoy commence par la livraison d'e-mails de phishing d'appât. Les victimes reçoivent une fausse invitation pour un événement scientifique international qui aurait lieu en Espagne, fin juillet. Un document Microsoft militarisé contenant une macro corrompue est joint à l'e-mail. Lors de son activation, la macro extrait un téléchargeur de malware sous la forme d'un fichier DLL.

SkinnyBoy est livré à côté du système infecté. La menace arrive sous la forme d'un fichier nommé « tpd1.exe ». Une fois lancé, SkinnyBoy tente d'établir un mécanisme de persistance en créant un fichier LNK dans le dossier de démarrage de Windows. Chaque fois que le système compromis est redémarré, le LNK se déclenche et commence à rechercher le fichier de charge utile principal de SkinnyBoy « TermSrvClt.dll ». Pour ce faire, il analyse le hachage SHA256 de chaque fichier stocké dans l'emplacement C:\Users\%username%\AppData\Local.

La tâche principale effectuée par SkinnyBoy est la livraison de la charge utile finale sur les systèmes infectés. Cependant, bien qu'elle soit présente sur le système, la menace recueillera également des informations spécifiques en exploitant les outils Windows « syteminfo.exe » et « tasklist.exe ». Les données sont collectées à partir des fichiers et emplacements suivants :

  • C:\Users\%username%\Desktop
  • C:\Program Files - C:\Program Files (x86)
  • C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
  • C:\Users\%username%\AppData\Roaming
  • C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Templates
  • C:\Windows - C:\Users\user\AppData\Local\Temp

Les informations récoltées par SkinnyBoy sont ensuite organisées, bissées au format base64 et exfiltrées vers les serveurs Command-and-Control de l'opération.

les victimes maigres

Le malware SkinnyBoy a jusqu'à présent été déployé contre un grand nombre de victimes potentielles. Il semble que l'APT28 cible principalement les agences gouvernementales telles que les ministères des Affaires étrangères, les entités de l'industrie de la défense, les ambassades et les organisations du secteur militaire. Alors que plusieurs des victimes se trouvaient dans l'Union européenne, l'APT28 pourrait opérer à plus grande échelle, l'attaque pouvant également toucher des organisations américaines.

Tendance

Le plus regardé

Chargement...