Les pirates nord-coréens parrainés par l’État ciblent une fois de plus les victimes avec une nouvelle forme de malware qui pourrait éventuellement détourner les appareils mobiles et PC.
Selon un nouveau rapport des chercheurs en cybersécurité AhnLab, un groupe connu sous le nom d’APT37 (AKA RedEyes, Erebus, un groupe nord-coréen connu qui serait fortement affilié au gouvernement), a été vu en train de distribuer un logiciel malveillant appelé « M2RAT » pour espionner et extraire données sensibles à partir de terminaux cibles.
La campagne, qui a débuté en janvier 2023, a commencé par un e-mail de phishing qui distribue une pièce jointe malveillante. La pièce jointe exploite une ancienne vulnérabilité EPS, identifiée comme CVE-2017-8291, trouvée dans Hangul, un programme de traitement de texte généralement utilisé en Corée du Sud.
Utilisation de la stéganographie
Cette interaction déclenche le téléchargement d’un exécutif malveillant, stocké dans une image JPEG.
En utilisant la stéganographie (une méthode pour cacher les logiciels malveillants dans les images et autres types de fichiers non malveillants), les attaquants sont capables d’exfiltrer le M2RAT et de l’injecter dans le fichier explorer.exe.
Le M2RAT lui-même, disent les chercheurs, est relativement basique. Il enregistre les entrées de clé, vole des fichiers, peut exécuter diverses commandes et prendre des captures d’écran automatiquement. Cependant, il possède une fonctionnalité unique qui a attiré leur attention : la possibilité de rechercher des appareils portables, tels que des smartphones, connectés au point de terminaison Windows compromis. S’il détecte un tel appareil, il l’analysera et téléchargera tous les fichiers et enregistrements vocaux sur la machine Windows. Après cela, il le compressera dans une archive .RAR protégée par mot de passe et l’enverra aux attaquants.
Enfin, il supprimera la copie locale pour supprimer toute preuve d’acte répréhensible.
Le logiciel malveillant a également été observé en utilisant une section de mémoire partagée pour la communication de commande et de contrôle (C2), ainsi que le vol de données. De cette façon, il n’a pas à stocker les fichiers volés dans le système compromis et à laisser des traces.
APT37 est un acteur de menace assez actif. Il a été vu pour la dernière fois en décembre de l’année dernière, lorsque des chercheurs l’ont vu abuser d’une faille d’Internet Explorer pour cibler des individus en Corée du Sud.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)