Nouveau Malware Voleur de Crédentiels Bancaires Attaque les États-Unis et le Canada
Table des matières :
Le secteur bancaire a toujours été une cible attrayante pour les cybercriminels. Après l’émergence de Zeus et Gozi en 2007, les chevaux de Troie bancaires les plus en vue ont régulièrement fait la une des journaux en vidant les comptes des clients. Récemment, les chercheurs en sécurité ont identifié un autre membre de la famille des logiciels malveillants financiers. Cette fois, la campagne vise le secteur bancaire américain et canadien, ciblé par un nouveau voleur d’informations d’identification depuis le début de l’année 2020.
Aperçu de la campagne
Bien que l’activité malveillante ait commencé dans les premiers mois de 2020, les chercheurs en sécurité ont détecté le nouveau voleur d’informations d’identification seulement au troisième trimestre 2020. De toute évidence, il applique des techniques d’évasion efficaces. Tout d’abord, le malware est composé en langage de script AutoHotKey (AHK), ce qui signifie qu’il peut être lancé sans compilateur intégré sur un PC compromis. Deuxièmement, la menace charge chaque composant malveillant séparément, en utilisant des scripts AutoHotKey distincts pour diverses cibles. La combinaison de ces fonctionnalités permet au voleur d’informations d’identification de rester invisible pour les chercheurs et d’échapper à la détection en sandbox.
Un autre aspect remarquable de cette campagne malveillante est qu’elle pourrait être lancée dans le cadre d’un modèle de « piratage sur commande ». Les composants logiciels malveillants sont strictement systématisés. De plus, des commentaires d’instructions détaillées pour la fonction principale et les variables sont fournis. Ce sont des indicateurs que le malware pourrait avoir été développé pour être utilisé sur une base de service. Notamment, les instructions sont écrites en russe, ce qui indique un pays d’origine possible pour les développeurs.
Nouvelles capacités des logiciels malveillants bancaires
Une chaîne d’infection à plusieurs étapes commence par des documents Excel agrémentés de macros, présumément distribués via des malspams et spear-phishing. Si une victime a été dupée pour activer une macro AutoOpen VBA, le document télécharge et lance le script client du téléchargeur AutoHotKey (AHK) (adb.ahk) avec l’aide d’un compilateur de script AHK portable (adb.exe). Dans ce contexte, adb.ahk est utilisé pour la persistance et pour marquer les cibles. En particulier, il utilise le numéro de série du volume du lecteur C pour produire des identifiants personnalisés pour chaque victime. Cet identifiant reste constant et est utilisé pour suivre les infections réussies.
Après la compilation et l’établissement de la persistance, le voleur d’informations d’identification dépose un « sqlite3.dll » sur l’appareil affecté. Cette DLL lance des requêtes SQL pour récupérer des données de connexion d’une vaste gamme de navigateurs, y compris Microsoft Edge, Google Chrome, Opera, Firefox et Internet Explorer (IE). Ensuite, les informations d’identification volées sont décryptées et envoyées au serveur C2 via une requête HTTP POST. Il convient de noter que le composant du voleur de mots de passe IE utilise un code malveillant open-source converti en langage AutoHotKey, tandis que les autres composants sont personnalisés et natifs AHK.
Détection d’attaque du voleur d’informations d’identification
Compte tenu des capacités d’évasion du nouveau malware AutoHotKey, la détection proactive des attaques est une tâche prioritaire. Trouvez les traces d’un voleur d’informations d’identification récemment découvert ciblant les États-Unis et le Canada avec du contenu de détection gratuit publié sur le Threat Detection Marketplace par Osman Demir:
https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
MITRE ATT&CK:
Tactiques : Accès aux informations d’identification, Persistance, Commande et contrôle
Techniques : Informations d’identification à partir des navigateurs Web (T1503), Modification de raccourci (T1023), Protocole standard de la couche d’application (T1437)
Inscrivez-vous gratuitement sur le Threat Detection Marketplace et trouvez plus de contenu SOC précieux pour la détection proactive des attaques. N’hésitez pas à rejoindre notre programme de récompenses des menaces pour créer vos propres règles Sigma et devenir membre de la communauté de chasse aux menaces de SOC Prime.
