Les chercheurs en cybersécurité d’ESET ont détecté une campagne de cyberespionnage avancée très ciblée abusant d’une application de messagerie chinoise légitime pour fournir un puissant voleur d’informations.
Dans la campagne, un acteur malveillant connu sous le nom d’Evasive Panda a utilisé une mise à jour de l’application de messagerie Tencent QQ pour diffuser un logiciel malveillant voleur d’informations. (s’ouvre dans un nouvel onglet) connu sous le nom de MsgBot.
MsgBot est capable de beaucoup de choses, y compris la journalisation des clés sur des applications Tencent spécifiques, le vol de fichiers sur des disques durs et des disques USB, la surveillance du presse-papiers, la capture de flux audio d’entrée et de sortie, le vol de mots de passe pour Outlook et Foxmail, ainsi que les informations d’identification et les cookies stockés dans les navigateurs populaires (Chrome, Firefox, Opera et autres). Il peut également voler l’historique des messages de l’application Tencent QQ et des informations de Tencent WeChat.
Cibler les ONG
Les attaquants n’ont pas ratissé large avec cet infostealer. En fait, ils visaient une poignée de personnes. ESET indique que la majorité des cibles étaient des membres d’une organisation non gouvernementale (ONG) internationale située dans trois provinces chinoises distinctes : Gansu, Guangdong et Jiangsu.
Le groupe à l’origine de la campagne, appelé Evasive Panda, serait actif depuis plus d’une décennie (depuis 2012) et aurait, pendant cette période, ciblé d’innombrables organisations et individus en Chine, à Hong Kong, à Macao et dans d’autres pays d’Asie. Cette campagne particulière est active depuis plus de trois ans, affirme ESET, affirmant qu’elle a très probablement commencé en 2020.
Alors que les chercheurs savent qui dirige la campagne, qui sont les cibles et quels outils sont utilisés, le « comment » reste un mystère. ESET a actuellement deux scénarios possibles sur la manière dont Evasive Panda a infecté ces terminaux avec MsgBot – soit une attaque de la chaîne d’approvisionnement, soit une attaque par un adversaire au milieu.
Avec une attaque de la chaîne d’approvisionnement, Evasive Panda devrait infiltrer le réseau de Tencent, identifier une mise à jour à venir pour l’application Tencent QQ et l’infecter avec des logiciels malveillants. Dans une attaque d’adversaire au milieu, la charge utile devrait être détournée et trojanisée en transit.
Les deux scénarios sont plausibles, dit ESET.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)