ZxxZ Trojan

Le cheval de Troie ZxxZ est une menace de logiciel malveillant jusque-là inconnue, qui est déployée dans le cadre des opérations nuisibles attribuées au groupe Bitter ATP (Advanced Persistent Threat). Des détails sur la menace elle-même, ainsi que sur la campagne d'attaque ont été révélés au public dans un rapport des chercheurs de Cisco Talos. La cible principale du cheval de Troie ZxxZ est le gouvernement du Bangladesh et l'objectif probable est le cyberespionnage et le vol de données.

La menace est livrée sous la forme d'un fichier exécutable Windows 32 bits sur les appareils piratés. Il est capable de récupérer puis d'exécuter des modules corrompus supplémentaires. Ces composants sont déposés sur les machines infectées sous forme de fichiers portant des noms génériques similaires à « ntfsc.exe », « Update.exe », etc. Les modules sont stockés dans le dossier de données de l'application locale et exécutés en tant que mise à jour de sécurité Windows.

Le cheval de Troie ZxxZ est équipé de plusieurs fonctionnalités anti-détection, notamment des chaînes masquées, la possibilité de rechercher et de tuer les processus de Windows Defender et d'autres solutions anti-malware. Ensuite, la menace activera une fonction de collecte d'informations. Les données acquises seront stockées dans une mémoire tampon, avant d'être exfiltrées vers les serveurs Command-and-Control (C2) de l'opération. La réponse du serveur C2 sera un exécutable portable déposé à l'emplacement '%LOCALAPPDATA%\Debug\'. En cas d'erreur lors de la livraison de cet exécutable, ZxxZ réessayera le processus exactement 225 fois avant de s'arrêter et de sortir.

Il est à noter que les chercheurs trouvé deux chaînes d'infection, les deux versions commencent par un e-mail de harponnage. Ces messages de leurre sont cachés derrière des adresses e-mail usurpées pour passer pour de la correspondance légitime provenant d'organisations gouvernementales pakistanaises. Cependant, les pièces jointes de fichiers armés peuvent être différentes. Dans un cas, les e-mails leurres contenaient un fichier .RTF qui exploite la vulnérabilité CVE-2017-11882 pour compromettre les machines avec des versions vulnérables de Microsoft Office. L'autre variante de la chaîne d'attaque utilise à la place un document .XLSX. Cette fois, les attaquants profitent des vulnérabilités CVE-2018-0798 et CVE-2018-0802 pour déclencher l'exécution de code à distance dans des instances obsolètes de Microsoft Office.