Les chercheurs en cybersécurité de Proofpoint ont découvert un tout nouveau logiciel malveillant personnalisé utilisé par les acteurs de la menace pour fournir une grande variété d’attaques de deuxième étape spécifiquement personnalisées.
Ces charges utiles sont capables de différentes choses, de l’espionnage au vol de données, rendant les attaques encore plus dangereuses en raison de leur imprévisibilité.
Les chercheurs, qui ont surnommé la campagne Screentime, disent qu’elle est menée par un nouvel acteur menaçant étiqueté TA866. Bien qu’il soit possible que le groupe soit déjà connu de la communauté de la cybersécurité au sens large, personne n’a encore été en mesure de le lier à des groupes ou à des campagnes existants.
Espionnage et vol
Proofpoint décrit TA866 comme un « acteur organisé capable d’effectuer des attaques bien pensées à grande échelle en fonction de sa disponibilité d’outils personnalisés, de sa capacité et de ses connexions pour acheter des outils et des services auprès d’autres fournisseurs et de l’augmentation des volumes d’activité ».
Les chercheurs suggèrent également que les acteurs de la menace pourraient être russes, car certains noms et commentaires variables dans certaines parties de leurs charges utiles de deuxième étape ont été écrits en russe.
Dans Screentime, TA866 envoyait des e-mails de phishing, essayant d’amener les victimes à télécharger la charge utile malveillante appelée WasabiSeed. Ce logiciel malveillant établit la persistance sur le terminal cible (s’ouvre dans un nouvel onglet)puis fournit différentes charges utiles de deuxième étape, en fonction de ce que les acteurs de la menace jugent approprié à ce moment-là.
Parfois, il livrait Screenshotter, un malware avec un nom explicite, tandis que d’autres fois, il livrait AHK Bot, un composant de boucle infinie fournissant le profileur de domaine, le chargeur Stealer et le voleur Rhadamanthys.
D’une manière générale, le groupe semble avoir des motivations financières, affirme Proofpoint. Cependant, il y a eu des cas qui ont amené les chercheurs à croire que le groupe est aussi parfois intéressé par l’espionnage. Il ciblait principalement des organisations aux États-Unis et en Allemagne. C’est indiscriminé en termes de secteurs verticaux – les campagnes touchent toutes les industries.
Les premiers signes de campagnes Screentime ont été observés en octobre 2022, a déclaré Proofpoint, ajoutant que l’activité s’est également poursuivie en 2023. En fait, fin janvier de cette année, les chercheurs ont observé « des dizaines de milliers de messages électroniques » ciblant plus d’un millier d’organisations.