Le malware Raspberry Robin est en circulation depuis plusieurs années et il continue de se propager pour infecter les appareils Windows. Désormais, il est capable de contourner Microsoft Defender et d'être très furtif sur la machine infectée. Faisons le point !
À la base, le logiciel malveillant Raspberry Robin se propage principalement par l'intermédiaire de clés USB, comme nous l'avions évoqué dans un précédent article publié en juillet 2022. Mais, depuis mars 2024, les pirates semblent bien décidés à le distribuer plus largement, alors qu'initialement, il ciblait plutôt les industries et les grandes entreprises.
Campagnes de phishing et fausses publicités
Un nouveau rapport publié par l'équipe de chercheurs en sécurité HP Wolf Security met en avant les nouvelles capacités et techniques employées par Raspberry Robin. Désormais, la clé USB est remplacée par de fausses publicités et des campagnes de phishing par e-mails. L'objectif étant de rediriger les utilisateurs vers des sites malveillants contrôlés par les pirates sur lesquels sont hébergés des fichiers WSF (Windows Script Files) obscurci.
"Le format de fichier WSF prend en charge les langages de script, tels que JScript et VBScript, qui sont interprétés par le composant Windows Script Host intégré au système d'exploitation Windows.", peut-on lire. De plus, les chercheurs en sécurité précisent que le code des scripts WSF distribués par les pirates est long et difficile à analyser. En effet, il y a beaucoup de lignes de code inutiles, uniquement là pour brouiller les pistes.
Une analyse minutieuse de la machine infectée
La dernière version de Raspberry Robin se démarque également par sa capacité à contourner les solutions de sécurité et à passer entre les mailles du filet. Avant de passer à l'action, le malware effectue une analyse complète de la machine pour déterminer l'environnement sur lequel il se trouve, avant de passer à la phase d'infection.
Parmi les éléments vérifiés, il y a la version de Windows, le type d'appareils (machine virtuelle, serveur, poste de travail), le type de processeur, la détection de la solution de virtualisation via l'adresse MAC, et enfin, il vérifie la présence éventuelle de certains antivirus (Kaspersky, ESET, Avast, Avira, Check Point et Bitdefender). Si l'un de ces antivirus est identifié, le script s'arrête. L'objectif principal de cette série de vérifications est de s'assurer que le malware est exécuté sur l'appareil d'un utilisateur final.
Par contre, les chercheurs en sécurité précisent que Raspberry Robin est capable de contourner Microsoft Defender : "Il est donc plus probable que le script s'exécute sur un terminal protégé par Microsoft Defender. Pour échapper à la détection, le script ajoute une exception à Microsoft Defender qui exclut l'ensemble du disque principal de l'analyse antivirus."
La phase finale : le déploiement de Raspberry Robin
Si tous les voyants sont au vert et qu'il s'agit de l'appareil d'un utilisateur final, le script va télécharger la DLL Raspberry Robin depuis un serveur situé sur Internet. Pour cela, il va s'appuyer sur la commande "curl" prise en charge nativement sur Windows, et il va stocker la DLL malveillante dans le dossier "AppData" local. Ainsi, Raspberry Robin est déployé sur la machine et il peut agir sans déclencher d'alerte sur Microsoft Defender.
Raspberry Robin est capable de télécharger et d'exécuter des charges utiles supplémentaires. Les cybercriminels ont l'habitude de l'utiliser pour déployer un ransomware ou d'autres malwares comme IcedID, BumbleBee et Truebot.
Un logiciel malveillant développé par un groupe lié au renseignement russe a été détecté en Estonie. Ce programme informatique ciblerait également l'Ukraine et d'autres pays d'Europe de l'Est.
Un logiciel malveillant développé par un groupe lié au renseignement russe a été détecté en Estonie. Ce programme informatique ciblerait également l'Ukraine et d'autres pays d'Europe de l'Est.
Un média israélien a révélé le travail de plusieurs sociétés de logiciel espion pour mettre au point des programmes qui infectent les appareils depuis les pubs en ligne.
Un média israélien a révélé le travail de plusieurs sociétés de logiciel espion pour mettre au point des programmes qui infectent les appareils depuis les pubs en ligne.
Voici une histoire qui va vous donner des sueurs froides dans le dos juste avant d’aller faire dodo ! Figurez-vous que Raspberry Robin, ce satané malware plus fourbe qu’un présentateur de C8, est de retour pour une nouvelle tournée de piratage en 2024 façon Taylor Swift. Les chercheurs en cybersécurité de chez HP Wolf Security ont repéré ses traces et croyez-moi, il a plus d’un tour dans son sac pour passer entre les mailles du filet !
Ce petit malin utilise des fichiers WSF (Windows Script Files) bien planqués sur différents domaines et sous-domaines pour se faufiler incognito. Et le pire, c’est qu’il arrive à berner ses victimes pour qu’elles aillent d’elles-mêmes sur ces pages web piégées. Une fois que le fichier WSF est exécuté, bim ! Il télécharge son payload principal, un DLL bien vicieux qui peut être n’importe quoi : du SocGholish, du Cobalt Strike, de l’IcedID, du BumbleBee, du TrueBot ou même du ransomware.
Mais avant de télécharger son précieux DLL, il va mener une série de reconnaissances pour vérifier s’il n’est pas en train de se faire piéger dans un environnement d’analyse ou une machine virtuelle. Et si jamais il détecte la présence d’un antivirus comme Avast, Avira, Bitdefender, Check Point, ESET ou Kaspersky, il se met direct en mode furtif et reste planqué.
Et comme si ça suffisait pas, il est même capable de bidouiller les règles d’exclusion de Microsoft Defender pour être sûr de passer entre les gouttes. C’est vraiment le Solid Snake des malwares ! Les scripts qu’il utilise ne sont même pas reconnus comme malveillants par les scanneurs sur VirusTotal, c’est dire à quel point il est balèze en infiltration.
Alors c’est sûr, avec Raspberry Robin dans la nature, faut être sur ses gardes. Ce malware est une vraie plaie depuis qu’il a été découvert en 2021. Au début, il se planquait sur des clés USB avec un fichier LNK qui pointait vers son payload hébergée sur un appareil QNAP compromis. Mais maintenant, il a évolué et il est devenu encore plus sournois.
Bref, gaffe à vous… Assurez-vous d’avoir un bon antivirus à jour, ne cliquez pas n’importe où et méfiez-vous comme de la peste des clés USB inconnues qui traînent.
Des chercheurs en sécurité soupçonnent les cybercriminels d'avoir utilisé l'IA générative dans le cadre d'une attaque pour générer un script PowerShell. Il a été utilisé pour distribuer un malware infostealer. Faisons le point !
En mars 2024, les chercheurs en sécurité de chez Proofpoint ont identifié une campagne malveillante ciblant des dizaines d'organisations allemandes et associées au groupe de pirates suivi sous le nom de TA547, et connu également sous le nom de Scully Spider. Il s'agirait d'un groupe actif depuis 2017 et appartenant à la catégorie des "initial access broker" (courtier d'accès initial).
"Outre les campagnes menées en Allemagne, d'autres organisations ont été ciblées récemment en Espagne, en Suisse, en Autriche et aux États-Unis.", peut-on lire dans le rapport de Proofpoint.
Lors de cette campagne, les pirates ont tenté d'usurper l'identité de la marque allemande Metro en envoyant des e-mails malveillants avec une facture, au format ZIP, en pièce jointe. Pour échapper aux analyses de sécurité, ce fichier ZIP est protégé par le mot de passe "MAR26". Il contient un fichier de raccourci malveillant (.LNK) qui, lorsqu'il est exécuté, déclenche l'exécution d'un script distant via PowerShell.
L'objectif final est d'infecter la machine avec le logiciel malveillant "Rhadamanthys", de type infostealer. Ce malware a pour objectif de voler des données sur chaque machine infectée, notamment des identifiants et des cookies.
Un script PowerShell généré avec une IA ?
Les chercheurs en sécurité ont procédé à l'analyse du script PowerShell utilisé par les cybercriminels. Et, ils ont été surpris de constater que chaque ligne de code était précédée par un commentaire, très bien rédigé, comme ceux intégrés par l'IA lorsqu'on lui demande de l'aide pour un bout de code.
Voici un extrait du script PowerShell en question :
Source : Proofpoint
Les chercheurs affirment que c'est une caractéristique typique d'un code PowerShell généré avec l'aide d'une IA générative, que ce soit ChatGPT, Gemini ou Microsoft Copilot. Bien que ce ne soit pas certain à 100%, il y a de fortes chances pour que les cybercriminels aient utilisé l'IA pour écrire ou réécrire le code.
Cela signifierait que dans le cadre de cette campagne malveillante, les pirates du groupe TA547 ont recouru à l'IA. Bien entendu, cela n'est qu'un exemple parmi d'autres et dans le cas présent, l'IA pouvait difficilement se douter qu'il s'agissait d'un code PowerShell utilisé à des fins malveillantes.
Severe D-Link Security Vulnerability Discovered – CVE-2024-3273 and CVE-2024-3274 Hard-Coded Credential Backdoor
The cybersecurity landscape has been significantly impacted by the discovery of two vulnerabilities in D-Link NAS devices, designated as CVE-2024-3273 and CVE-2024-3274. These vulnerabilities affect multiple (approx 92,000 internet facing devices, the bulk of which are UK based) D-Link NAS models that are no longer supported by the manufacturer due to their end-of-life (EOL) status. This detailed analysis aims to unpack the complexities of these vulnerabilities, their operational implications, and the necessary user responses.
Impact and Affected D-Link NAS Model:
The confirmed list of affected D-Link NAS models includes:
Model
Region
Hardware Revision
End of Service Life
Fixed Firmware
Conclusion
Last Updated
DNS-320L
All Regions
All H/W Revisions
05/31/2020
Not Available
Retire & Replace Device
04/01/2024
DNS-325
All Regions
All H/W Revisions
09/01/2017
Not Available
Retire & Replace Device
04/01/2024
DNS-327L
All Regions
All H/W Revisions
05/31/2020
Not Available
Retire & Replace Device
04/01/2024
DNS-340L
All Regions
All H/W Revisions
07/31/2019
Not Available
Retire & Replace Device
04/01/2024
These devices, pivotal in small office/home office (SOHO) environments for data storage and management, are now susceptible to remote attacks that could compromise sensitive data integrity, availability, and confidentiality.
CVE-2024-3273 exposes a command injection flaw within the web interface of affected D-Link NAS devices. The vulnerability is located in the handling of the system parameter within the nas_sharing.cgi script, which improperly sanitizes user-supplied input. This oversight allows authenticated remote attackers to inject and execute arbitrary shell commands encoded in base64. The execution context of these commands is particularly concerning, as it typically runs under the web server’s privileges, potentially leading to unauthorized access to the system, modification of system settings, or initiation of a denial of service (DoS) attack.
Technical Dive into CVE-2024-3274: Hardcoded Credentials
CVE-2024-3274 reveals a hardcoded credential vulnerability, manifesting as a backdoor account (messagebus) embedded within the device firmware. This account, notably lacking a password, permits unauthenticated remote access to the device’s administrative interface. The presence of such hardcoded credentials significantly lowers the complexity of unauthorized device access, making it a critical vulnerability. This backdoor could be exploited in tandem with CVE-2024-3273 to elevate privileges or gain persistent access to the compromised device.
Who Found the D-Link Vulnerability?
The vulnerabilities were disclosed by a security researcher operating under the pseudonym “netsecfish,” who provided detailed technical insights and proof-of-concept (PoC) code. This disclosure highlighted the risk of widespread exploitation, given the estimated 92,000 devices exposed online across various regions, including the UK, Thailand, Italy, and Germany. The timing of the disclosure, subsequent to the affected models reaching their EOL, exacerbated concerns around feasible mitigation strategies.
Mitigation Strategies for Users Who Are Still Using A D-LInk NAS
In light of D-Link’s stance on not providing firmware updates for EOL products, affected users are faced with limited mitigation options. The primary recommendation is the retirement and replacement of vulnerable devices. Interim measures, for those unable to immediately replace their devices, include isolating the NAS devices from the internet, implementing strict network segmentation, and employing firewall rules to restrict access to the management interface. Additionally, monitoring for unusual network activity can provide early detection of exploitation attempts.
D-Link Official Response
D-Link has acknowledged the vulnerabilities but emphasized the EOL status of the affected models, which precludes official firmware updates or patches. The company has issued advisories urging users to replace outdated devices with supported models. This situation underscores the importance of adhering to device lifecycle policies and maintaining an updated infrastructure to mitigate security risks.
At the time of writing, there is no mention of this on their social media pages. Hopefully this changes, as the potential 82,000 internet facing units in the wild need to be addressed.
Exploitation in the Wild of the hard-code credential D-Link Vulnerability
GreyNoise, a cybersecurity firm specializing in analyzing internet-wide scan traffic to identify threats, has provided valuable insights into the exploitation attempts of the D-Link NAS vulnerabilities. According to their analysis, a significant uptick in scan activity targeting the specific vulnerabilities CVE-2024-3273 and CVE-2024-3274 was observed shortly after their disclosure. This activity suggests that attackers are actively seeking out vulnerable D-Link NAS devices for exploitation. GreyNoise’s findings indicate that the exploitation attempts are not isolated incidents but part of a broader effort by malicious actors to identify and compromise affected devices. The data collected by GreyNoise highlights the real-world implications of these vulnerabilities and serves as a critical alert for organizations and individuals to take immediate protective actions against potential unauthorized access and exploitation of their D-Link NAS devices.
The D-Link NAS Series is Still For Sale (Technically)
Despite the end-of-life status and known vulnerabilities of D-Link NAS models DNS-340L, DNS-320L, DNS-327L, and DNS-325, these devices continue to find a marketplace on platforms such as eBay and other online resale venues. This ongoing sale of used units poses a significant cybersecurity risk, as many sellers and buyers may not be fully aware of the devices’ vulnerability to exploits. Alarmingly, at the time of writing, it is reported that over 80,000 of these units remain actively internet-facing, directly exposing them to potential exploitation by attackers leveraging the CVE-2024-3273 and CVE-2024-3274 vulnerabilities. The persistence of these devices in active operational environments underscores the critical need for heightened awareness and proactive measures among current users. Potential buyers should be cautioned against acquiring these models, and existing users are strongly advised to consider secure alternatives that receive current manufacturer support and updates, mitigating the risk of compromise.
I own a Synology/QNAP NAS, Should I Care? How to Automatically Get Updated When Synology and QNAP NAS Vulnerabilities are Reported
Pretty much ALL of the brands in NAS, Data Storage and Cloud services have these security advisory pages, but the idea of checking these pages manually (i.e. bookmark etc) every day, week or month is too much of a hassle for many. On the other hand, they all arrive with an RSS feed link that allows users to subscribe to updates BUT many users are not even aware of how to apply an RSS feed (it’s a complex XML feed of text that needs to be injected into an appropriate RSS feed client/agent – so yeah, hardly noob friendly). So, in order to make this 1000x easier, I have (and by me, I mean Eddie the Web Guy spent time on it and I made this article!) made this page that will be constantly updated with the latest vulnerabilities reported on the popular NAS brands and storage-related manufacturers. It is still being built (so more brands are being added) but it will allow you to just chuck your email address below (will not be used for profit or spamming etc) and then you will get an alter EVERY TIME a new security vulnerability is updated by the brands (this is automated, so it will appear here as soon as it appears on the respective security advisory page). Additionally, there will be links back to the brand/manufacturer site so you can find out more about individual exploits and vulnerabilities, how they work, what they do and (most importantly) give you a better idea of whether you should update your NAS/Storage system or not. I hope you find it helpful and if you have any recommendations or idea of what we should add to this page/service to make it even better – let us know in the comments or directing here – https://nascompares.com/contact-us
Sign Up Below to Get Updates as New Vulnerabilities Are Reported
Get an alert every time something gets added to this specific article!
Beyond immediate mitigation, users should consider several best practices for network device security:
Conduct regular security audits of network devices.
Update all devices to the latest firmware versions where possible.
Employ network firewalls and intrusion detection systems to monitor and control inbound and outbound traffic.
Practice the principle of least privilege by restricting device access to necessary personnel.
Conclusion
The vulnerabilities identified as CVE-2024-3273 and CVE-2024-3274 in D-Link NAS devices present significant security challenges. The absence of official firmware updates for these EOL products necessitates proactive user measures to mitigate risks. This analysis serves as a call to action for users to evaluate their network security posture critically, implement robust security measures, and ensure that all network-attached storage devices operate within their supported lifecycle.
This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below
Need Advice on Data Storage from an Expert?
Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you.Need Help?
Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry.
[contact-form-7]
TRY CHAT Terms and Conditions
If you like this service, please consider supporting us.
We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service checkHEREIf you need to fix or configure a NAS, check FiverHave you thought about helping others with your knowledge? Find Instructions Here
Or support us by using our affiliate links on Amazon UK and Amazon US
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline […]
D'après une étude réalisée par l’équipe Digital Footprint Intelligence de Kaspersky, le nombre d'appareils d'entreprise compromis par des logiciels malveillants de type "infostealer" est en forte augmentation : en 2023, on parle de plus d'un appareil sur deux !
Pour rappel, un logiciel malveillant de type "infostealer" est ce que l'on appelle un voleur de données ou voleur d'informations. Une fois l'appareil infecté, le malware est capable de siphonner les données présentes dans diverses applications, telles que les navigateurs, afin de voler des identifiants et mots de passe, ainsi que des cookies de connexion. Ils sont de plus en plus nombreux et RedLine est l'un des plus populaires.
L’équipe Digital Footprint Intelligence de Kaspersky a effectué une analyse basée sur les données extraites à partir de fichiers journaux de malwares "infostealer" disponibles sur le dark web. Depuis 2020, le nombre d'appareils professionnels compromis par ce type de menace a augmenté de 34%. Résultat, d'après cette étude, en 2023, plus de la moitié (53%) des appareils infectés par ce type de malware étaient des appareils appartenant à des entreprises.
Dans le cas présent, l'équipe de Kaspersky s'est concentrée sur l'analyse des éditions de Windows infectées par un infostealer. 53%, cela correspond à la part d'appareils sous Windows 10 Enterprise, donc cela n'inclut pas les appareils sous Windows 10 Pro. C'est un détail important, car l'édition "Pro" est aussi très largement utilisée par les organisations.
Source : Kaspersky
21% des employés ont exécuté le logiciel malveillant à plusieurs reprises
Kaspersky estime que 21% des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises.
D'ailleurs, Kaspersky a mené l'expérience suivante pour obtenir cette statistique : "Pour ce faire, nous avons examiné un échantillon de fichiers journaux contenant des données vraisemblablement liées à 50 organismes bancaires de différentes régions. Nous avons constaté que 21% des employés ont rouvert le logiciel malveillant et que 35% de ces réinfections ont eu lieu plus de trois jours après l'infection initiale. Cela peut indiquer plusieurs problèmes sous-jacents, notamment une sensibilisation insuffisante des employés, des mesures inefficaces de détection et de réponse aux incidents, l'idée qu'il suffit de changer le mot de passe si le compte a été compromis, et une réticence à enquêter sur l'incident."
À chaque fois qu'un identifiant est associé à une adresse e-mail professionnelle, Kaspersky estime qu'elle permet d’avoir accès à 1,85 application professionnelle en moyenne. Ceci peut correspondre à des portails internes, des applications, des services de messagerie, etc.
Des petits malins ont eu l’idée de distribuer des logiciels de triche pour Call of Duty et d’autres jeux sur Battle.net. Sauf que… surprise ! En réalité, ces soi-disant « cheats » étaient bourrés de malwares qui aspirent les Bitcoins des joueurs ! Un coup de maître digne d’un scénario de Mr Robot.
D’après les experts en cybersécurité de VX Underground, cette attaque d’hameçonnage ciblée aurait potentiellement compromis près de 5 millions de comptes, rien que ça ! Une fois installé sur l’ordi de la victime, le malware s’attaque direct au portefeuille Bitcoin Electrum pour siphonner les précieuses crypto. On parle de presque 3,7 millions de comptes Battle.net, plus de 560 000 comptes Activision et environ 117 000 comptes ElitePVPers. Autant dire que les cybercriminels se sont fait plaisir.
Bon, Activision affirme que ses serveurs n’ont pas été directement compromis. Mais quand même, ça la fout mal. La boîte conseille à tous les joueurs qui auraient pu cliquer sur un lien louche de changer rapidement leur mot de passe et d’activer l’authentification à deux facteurs ce qui est un minimum.
Bref, méfiez-vous comme de la peste des logiciels de triche. Comme dirait l’autre, si c’est trop beau pour être vrai, c’est que ça cache sûrement une entourloupe !
Puis où est passé le plaisir de jouer à la loyale, de progresser à la sueur de son front et de laminer ses adversaires à la régulière ?
Si vous avez l'habitude d'utiliser Python ou des projets codés en Python, vous connaissez probablement PyPI puisqu'il s'agit du référentiel officiel pour les projets Python. Ce 28 mars 2024, pendant plus de 10 heures, il n'était plus possible de s'inscrire : pourquoi ? La réponse dans cet article !
Pour les développeurs Python, PyPI est assurément incontournable ! Et, pour preuve, il référence des milliers de projets Python associés à des paquets divers et variés, plus ou moins populaires. Forcément, cette popularité fait de PyPI une cible attractive pour les cybercriminels, où ces derniers n'hésitent pas à charger de faux paquets malveillants ou à utiliser la technique du typosquatting pour tenter de piéger des utilisateurs.
D'ailleurs, c'est à cause d'une campagne malveillante que la Python Software Foundation a pris la décision d'empêcher temporairement la création de nouveaux comptes utilisateurs. Cette décision a pour objectif de limiter les activités malveillantes. En effet, un rapport mis en ligne par Checkmarx mentionne une importante campagne malveillante : en quelques heures, les pirates ont chargé sur PyPI un ensemble de 365 paquets différents, dont les noms imitent des projets légitimes.
À chaque fois, chacun de ces paquets contient un fichier "setup.py" malveillant qui, lors de l'installation, tente de se connecter à un serveur distant pour récupérer un logiciel malveillant de type info-stealer ! Ainsi, si un développeur ou un autre utilisateur télécharge et installe ce paquet malveillant, il récupère au passage un malware voleur de données qui se fera un plaisir d'exfiltrer les données mémorisées dans les navigateurs (identifiants, mots de passe, cookies, portefeuilles de cryptomonnaies).
Une campagne automatisée
Dans le cas présent, les pirates ont automatisé cette attaque : chaque compte PyPI est utilisé pour télécharger un seul paquet, et à chaque fois, un nom d'utilisateur et une adresse e-mail différents sont utilisés. Ainsi, il est plus difficile de faire une opération de nettoyage. Le script malveillant, quant à lui, est toujours le même : une preuve qu'il s'agit d'une campagne initiée par le même acteur malveillant.
C'est probablement pour cette raison que PyPI a pris la décision de bloquer les inscriptions ! Désormais, le problème est "résolu" et il est possible de s'inscrire de nouveau. Ceci signifie que ce jeudi 28 mars 2024, il n'était plus possible de s'inscrire entre 03h16 et 13h56, heure française.
Ce n'est pas la première fois que cela se produit, puisqu'une telle décision a été prise le 20 mai 2023. L'objectif étant de protéger les membres de la communauté Python.
Une nouvelle variante du botnet "TheMoon" a été repéré dans 88 pays différents sur des milliers de routeurs, notamment de la marque ASUS, et des appareils IoT. Faisons le point sur cette menace.
Les chercheurs en sécurité de Black Lotus Labs ont surveillé de près la dernière campagne de TheMoon, qui s'est déroulée en mars 2024, et les chiffres sont élevés : en 72 heures, ce botnet est parvenu à compromettre 6 000 routeurs ASUS. Plus globalement, voici ce que précise le rapport au sujet de l'activité de TheMoon : "Alors que Lumen a déjà documenté cette famille de logiciels malveillants, notre dernier suivi a montré que TheMoon semble permettre la croissance de Faceless à un rythme de près de 7 000 nouveaux utilisateurs par semaine."
En effet, les appareils compromis par le botnet TheMoon sont ensuite exploités par le service proxy "Faceless" auquel il est lié. Ce service s'appuie sur les appareils infectés pour les utiliser comme proxy afin de masquer le trafic généré par les cybercriminels. Ainsi, ceci permet aux cybercriminels, notamment ceux des groupes IcedID et SolarMarker, de masquer leurs activités malveillantes.
TheMoon n'est pas une nouvelle menace puisqu'il a été repéré pour la première fois en 2014. À cette époque, il ciblait particulièrement les équipements LinkSys. Lors de la première semaine de mars, il y a eu une importante vague d'attaques à destination des routeurs ASUS.
Les routeurs ASUS, une cible privilégiée
Les chercheurs de Black Lotus Labs ne précisent pas comment les routeurs ASUS ont pu être compromis, mais il s'agirait de modèles qui ne sont plus pris en charge par le fabricant. Il est fort probable que des failles de sécurité connues et non corrigées soient exploitées par le botnet, ou que la technique du brute force soit utilisée : ces routeurs sont susceptibles d'être mal configurés et le compte admin par défaut pourrait fonctionner dans certains cas...
Lorsqu'un appareil est compromis, le logiciel malveillant part à la recherche d'un shell avec lequel il est compatible : "/bin/bash," "/bin/ash," ou "/bin/sh". Si c'est le cas, le chargeur télécharge, déchiffre et exécute un payload nommé ".nttpd" sur l'appareil. Ensuite, des règles de filtrage sont créées via iptables pour bloquer les flux entrants sur les ports 8080 et 80 en TCP, sauf pour des plages d'adresses IP spécifiques. Ceci permet aux attaquants d'être les seuls à pouvoir exploiter cet appareil à distance, notamment via le service de proxy. Enfin, TheMoon établit une connexion aux serveurs C2 pilotés par les attaquants et il est en attente de recevoir des instructions.
Si vous constatez des problèmes de stabilité, de performances ou des paramètres qui ont changé sur votre routeur ou un appareil IoT, il se pourrait que vous soyez victime de ce botnet, notamment si vous utilisez un routeur ASUS.
Une centaine d'organisations situées aux États-Unis et en Europe ont été victime d'une nouvelle campagne malveillante visant à déployer le malware StrelaStealer ! Voici ce qu'il faut savoir sur cette menace.
L'Unit42 de Palo Alto Networks a publié un rapport au sujet de la menace StrelaStealer, un logiciel malveillant repéré pour la première fois en novembre 2022. Après avoir infecté une machine, son objectif est de voler les informations d'identification des comptes de messagerie dans les applications Outlook et Thunderbird.
Alors qu'à la base ce malware ciblait principalement les utilisateurs hispanophones, il s'avère que les cybercriminels ont fait évoluer leur plan : désormais l'Europe et les États-Unis sont pris pour cible. Pour cela, les pirates n'hésitent pas à traduire en plusieurs langues les fichiers utilisés par ce malware, ce qui le rend polyglotte et lui permet de s'adapter à la cible.
Comme beaucoup d'autres logiciels malveillants, StrelaStealer est distribué par l'intermédiaire de phishing. Depuis la fin du mois de janvier, l'Unit42 a détecté une forte hausse de l'activité avec un important volume d'e-mails malveillants envoyés par jour. L'Unit42 évoque jusqu'à 500 organisations ciblées par jour et il y a eu des victimes : "Récemment, nos chercheurs ont identifié une vague de campagnes StrelaStealer à grande échelle touchant plus de 100 organisations dans l'UE et aux États-Unis.", peut-on lire dans le rapport. Dans la grande majorité des cas, ce sont les organisations du secteur des nouvelles technologies qui ont été les plus visées.
Source : Unit42
La chaine d'infection de StrelaStealer
Les pirates ont fait évoluer la chaine d'infection du malware StrelaStealer. Désormais, l'e-mail malveillant contient une pièce jointe au format ZIP qui a pour objectif de déposer des fichiers JScript sur la machine de la victime. Dans le cas où ces scripts sont exécutés, ils déposent un fichier batch et un fichier encodé en base64, qui donne lieu à une DLL qui sera exécutée via rundll32.exe afin de déployer le payload StrelaStealer.
Le schéma ci-dessous, issu du rapport d'Unit42 permet de comparer l'ancienne et la nouvelle chaine d'infection.
Source : Unit42
Si le logiciel malveillant est déployé, il vole les identifiants mémorisés dans Outlook et Thunderbird et ces informations sont immédiatement envoyées aux attaquants par l'intermédiaire d'un serveur C2.
Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l'on sait sur cette menace.
AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l'on appelle un "data wiper", c'est-à-dire un malware dont l'unique but est de détruire les données présentes sur l'appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D'ailleurs, AcidRain a été utilisé dans le cadre d'une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.
Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l'Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu'AcidRain, grâce à la "prise en charge" de la destruction de données sur une plus grande variété d'appareils.
AcidPour est un malware destructeur de données capable de s'attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s'agir de cibler des NAS dont le système est basé sur Linux, car le malware s'intéresse aux chemins de type "/dev/dm-XX.
Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillante : "Il s'agit d'une menace à surveiller. Mon inquiétude est d'autant plus grande que cette variante est plus puissante que la variante AcidRain et qu'elle couvre davantage de types de matériel et de systèmes d'exploitation.
Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.
Kaspersky a contribué à une action menée par INTERPOL, qui a conduit les autorités brésiliennes à arrêter cinq administrateurs à l'origine du trojan bancaire Grandoreiro. Selon les premières estimations, les opérateurs du trojan bancaire auraient escroqué plus de 3,5 millions d'euros à leurs victimes.
Un nouvelle version d'un logiciel malveillant dédié au vol de mot passe a fait son apparition. Les pirates ont amélioré leur outil pour cibler les ordinateurs Mac.
Un nouvelle version d'un logiciel malveillant dédié au vol de mot passe a fait son apparition. Les pirates ont amélioré leur outil pour cibler les ordinateurs Mac.
Pour déployer le malware DarkGate, les pirates exploitent une faille de sécurité corrigée en février 2024 par Microsoft. Présente dans la fonctionnalité SmartScreen de Windows Defender, elle permet de contourner les contrôles de sécurité, et donc l'exécution de code malveillant. Voici ce qu'il faut savoir !
Avant d'évoquer cette campagne malveillante, parlons de la vulnérabilité CVE-2024-21412. Microsoft l'a corrigée à l'occasion de la sortie de ton Patch Tuesday de Février 2024, et l'a alors présenté comme une faille de sécurité zero-day, c'est-à-dire une vulnérabilité déjà connue et exploitée par les pirates avant qu'elle ne soit corrigée.
Présente dans Windows, elle permet d'outrepasser la fonction de vérification Mark of the Web (MoTW) à partir d'un fichier de type raccourci Internet. Ce qui fait que SmartScreen ne se déclenche pas, car le fait de tromper la fonction MoTW engendre un défaut sur ce marqueur permettant de faire croire au système qu'il s'agit d'un lien vers un fichier local, même si celui-ci se situe sur Internet.
Là encore, pour que l'attaque aboutisse, il doit y avoir une interaction avec l'utilisateur : "Un attaquant non authentifié pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés. [...] L'attaquant devra convaincre l'utilisateur d'agir en cliquant sur le lien du fichier."
La campagne d'attaques DarkGate
Au moment où Microsoft a divulgué cette vulnérabilité, la Trend Micro Zero Day Initiative, à l'origine de sa découverte, avait publié un rapport sur la CVE-2024-21412 qui permettait d'apprendre que cette faille de sécurité a été activement exploitée par le groupe APT DarkCasino (Water Hydra) dans le cadre d'une campagne malveillante ciblant les traders financiers.
Désormais, c'est un second rapport publié par Trend Micro qui évoque l'exploitation de cette vulnérabilité par un autre groupe de pirates, cette fois-ci dans le but de déployer le malware DarkGate. Cette campagne a été repérée mi-janvier 2024.
Cette attaque commence par un e-mail malveillant contenant un fichier PDF en pièce jointe et un ensemble de liens qui s'appuient sur des redirections Google DoubleClick pour contourner les contrôles de sécurité des e-mails. Si un utilisateur clique sur le lien, il est redirigé vers un site web sur lequel est hébergé un fichier de raccourci, en ".url", qui lui-même renvoie vers un second raccourci hébergé sur un serveur WebDAV piloté par l'attaquant.
Cette "astuce" utilisée par les cybercriminels permet d'exploiter la faille de sécurité CVE-2024-21412. Le second raccourci quant à lui est là pour exécuter, de façon automatique, un fichier MSI malveillant sur la machine Windows. Il y a plusieurs fichiers MSI différents utilisés par les cybercriminels, et à chaque fois, tout est fait pour que le fichier semble légitime en se faisant passer pour une application de NVIDIA, l'application iTunes d'Apple ou encore Notion. Ce package MSI va ensuite s'appuyer sur des DLL pour télécharger, déchiffrer, et charger le logiciel malveillant DarkGate sur la machine.
Source : Trend Micro
Ce malware est utilisé par certains cybercriminels depuis 2017. Il offre diverses fonctionnalités comme la prise en main à distance via hVNC, l'enregistrement de la saisie au clavier (keylogger), le déploiement d'un reverse shell, le vol du contenu du presse-papiers ou encore le vol de données à partir des volumes de l'ordinateur et des navigateurs Web.
Dans le cas présent, Trend Micro précise que c'est la version 6.1.7 de DarkGate qui a été repérée. Elle ajoute des fonctionnalités supplémentaires, comme le chiffrement XOR de la configuration, et offre plus de flexibilité aux pirates avec la possibilité d'utiliser des paramètres pour mettre en place diverses tactiques opérationnelles et techniques d'évasion.
Si vous n'avez pas encore déployé les mises à jour cumulatives de février 2024, vous savez ce qu'il vous reste à faire...
Connexion
