Des pirates informatiques ont de nouveau été trouvés en train d’utiliser l’escroquerie classique du «faux travail de chiffrement» pour distribuer des logiciels malveillants dangereux, ont averti les experts.
Cependant, au lieu de l’habituel groupe nord-coréen Lazarus, cette fois, ce sont les Russes qui tentent de profiter des crypto-travailleurs crédules. Les chercheurs en cybersécurité de Trend Micro ont récemment observé des acteurs de la menace russes anonymes ciblant les travailleurs de l’industrie de la crypto-monnaie, situés en Europe de l’Est.
Ils enverraient des e-mails invitant les victimes à envisager une nouvelle offre d’emploi dans une entreprise de cryptographie. L’e-mail contiendrait deux pièces jointes, un fichier .txt apparemment bénin (intitulé « Interview Questions ») et un manifestement malveillant (intitulé « Interview Conditions.word.exe »).
Apportez votre propre conducteur vulnérable
L’attaque est une campagne en trois étapes : si la victime exécute l’exécutable, elle télécharge une deuxième charge utile qui exploite une vulnérabilité dans un pilote Intel, suivi comme CVE-2015-2291. Cette méthode, communément appelée « Bring Your Own Vulnerable Driver », permet aux pirates d’exécuter des commandes avec les privilèges du noyau, et ils utilisent cette capacité pour désactiver la protection antivirus.
Une fois l’antivirus désactivé, ils déclenchent le téléchargement du troisième payload, qui est une variante du malware Stealerium, nommé Enigma.
Le logiciel malveillant, qui est extrait d’un canal Telegram privé, est capable d’extraire des informations système, des jetons de navigateur, des mots de passe stockés (il cible pratiquement tous les navigateurs populaires de nos jours, y compris Chrome, Edge, Opera, etc.), des données stockées dans Outlook, Telegram , Signal, OpenVPN, et plus encore. De plus, Enigma peut capturer des captures d’écran et extraire le contenu du presse-papiers.
Quand il obtient ce qu’il veut, Enigma compresse le tout dans une archive Data.zip et le renvoie via Telegram.
Alors que les fausses offres d’emploi sont généralement quelque chose que fait le groupe Lazarus, Trend Micro pense que cette fois-ci, le groupe est d’origine russe. Apparemment, l’un des serveurs de journalisation héberge un panneau Amadey C2, largement populaire parmi les cybercriminels russes. De plus, le serveur exécute « Deniska », une variante Linux utilisée presque exclusivement par les Russes – et le fuseau horaire par défaut du serveur est également défini sur Moscou.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)