Il semble que même le logo emblématique de Windows ne soit pas à l’abri des logiciels malveillants (s’ouvre dans un nouvel onglet) plus, car certains cybercriminels ont réussi à y cacher du code malveillant.
Les experts en cybersécurité de Symantec affirment avoir repéré une de ces campagnes en utilisant un processus de masquage de code malveillant dans des images autrement inoffensives, autrement connu sous le nom de stéganographie.
Cela est généralement fait pour éviter la détection par les programmes antivirus, car ces solutions détectent rarement les images comme malveillantes.
A la poursuite des gouvernements
Dans ce cas particulier, le groupe engagé dans des attaques de stéganographie s’appelle Witchetty, un acteur menaçant connu qui serait fortement lié à l’acteur parrainé par l’État chinois Cicada (AKA APT10), et également considéré comme faisant partie de l’organisation TA410 qui a ciblé les fournisseurs d’énergie américains. autrefois.
Le groupe a lancé sa dernière campagne en février 2022, ciblant au moins deux gouvernements au Moyen-Orient.
De plus, une attaque contre une bourse en Afrique serait toujours active. Witchetty a utilisé des attaques de stéganographie pour masquer une porte dérobée cryptée XOR, qui était hébergée sur un service cloud, minimisant ainsi ses chances de détection. Pour déposer des webshells sur des endpoints vulnérables (s’ouvre dans un nouvel onglet)les attaquants ont exploité les vulnérabilités connues de Microsoft Exchange ProxyShell pour l’accès initial : CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 et CVE-2021-27065.
« Déguiser la charge utile de cette manière a permis aux attaquants de l’héberger sur un service gratuit et de confiance », a déclaré Symantec. « Les téléchargements à partir d’hôtes de confiance tels que GitHub sont beaucoup moins susceptibles de déclencher des drapeaux rouges que les téléchargements à partir d’un serveur de commande et de contrôle (C&C) contrôlé par un attaquant. »
La porte dérobée cryptée XOR permet aux acteurs de la menace de faire un certain nombre de choses, y compris la falsification de fichiers et de dossiers, l’exécution et l’arrêt de processus, la modification du registre Windows, le téléchargement de logiciels malveillants supplémentaires, le vol de documents et la transformation du terminal compromis en un serveur C2. .
La dernière fois que nous avons entendu parler de Cicada, c’était en avril 2022, lorsque des chercheurs ont rapporté que le groupe avait abusé du populaire lecteur multimédia VLC pour distribuer des logiciels malveillants et espionner des agences gouvernementales et des organisations adjacentes situées aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, Monténégro et Italie.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)