Les chercheurs en sécurité de Securonix ont découvert une campagne de piratage particulièrement cosmique. Baptisée « Go#Webfuscator », elle s’est appuyée sur une série de techniques de camouflage et d’obscurcissement. En particulier, elle utilise une célèbre image du télescope James Webb pour installer un dangereux malware sur les systèmes visés.
Le début de l’attaque, pourtant, est assez classique. Les pirates envoient un e-mail avec un document Word piégé. Une fois récupéré, ce document va télécharger un fichier template contenant un script Visual Basic malveillant. Si l’utilisateur autorise l’exécution de macros, ce programme va télécharger une photo de Smacs 0723, un amas de galaxies photographié par le télescope James Webb à l’aide d’une caméra proche infrarouge. C’était d’ailleurs la première photo opérationnelle prise par ce satellite.
Mais dans le cas présent, il n’y a pas que des étoiles dans ce fichier. Il cache aussi un exécutable programmé en Golang et encodé en base 64. Ce binaire est extrait par le script Visual Basic cité plus haut et sauvegardé sous un nom en apparence inoffensif (msdlupdate.exe). Mais le camouflage ne s’arrête pas là. Lors de la compilation, les pirates ont pris soin d’encoder les chaînes de caractères qui pourraient éventuellement sonner l’alarme dans les systèmes, comme les chemins d’accès ou les commandes shell. Ces chaînes ont été transformées en utilisant l’algorithme ROT25, qui est un chiffrement fondé sur la substitution de caractères. Par ailleurs, certaines parties du code ont été encodées par l’algorithme XOR. ROT25 et XOR sont des algorithmes assez simples et très faciles à décoder. Mais c’est visiblement suffisant pour déjouer les antivirus.
Les pirates communiquent par le protocole DNS
Une fois exécuté, ce binaire va se copier lui-même dans un répertoire et créer une clé de registre Windows pour assurer la persistance de son exécution. Il va ensuite contacter les serveurs de commande et contrôle des pirates. Là encore, c’est la fête du camouflage, car ces échanges se font au travers de requêtes DNS. En effet, le malware va envoyer des requêtes vers un serveur DNS créé par les pirates. Ces derniers envoient leurs commandes en les intégrant de manière chiffrée dans les réponses à ces requêtes. « Une fois la connexion DNS établie, nous avons observé les attaquants exécuter des commandes d’énumération arbitraires sur nos systèmes de test », explique Securonix dans une note de blog. L’énumération consiste à collecter des informations basiques sur le terminal : type de système d’exploitation, version du kernel, variables d’environnement, applications installées, etc. C’est généralement la première étape d’un piratage en profondeur.
Les chercheurs en sécurité ont publié des indices techniques permettant de détecter le malware. En revanche, ils ne se sont pas risqués à une quelconque attribution. Pour l’instant, on ne sait donc pas qui se cache derrière cette photo truquée de l’espace.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Securonix