Une campagne de phishing sophistiquée utilise un leurre de document Microsoft Word pour distribuer un trio de menaces, à savoir l’agent Tesla, OriginBotnet et OriginBotnet, afin de collecter un large éventail d’informations à partir de machines Windows compromises.
« Un e-mail de phishing transmet le document Word en pièce jointe, présentant une image délibérément floue et un reCAPTCHA contrefait pour inciter le destinataire à cliquer dessus », a déclaré Cara Lin, chercheuse chez Fortinet FortiGuard Labs. dit.
Cliquer sur l’image entraîne la livraison d’un chargeur à partir d’un serveur distant qui, à son tour, est conçu pour distribuer OriginBotnet pour l’enregistrement de frappe et la récupération de mot de passe, RedLine Clipper pour le vol de crypto-monnaie et Agent Tesla pour la collecte d’informations sensibles.
Le chargeur, écrit en .NET, utilise une technique appelée remplissage binaire en ajoutant des octets nuls pour augmenter la taille du fichier à 400 Mo dans le but d’échapper à la détection par le logiciel de sécurité.
L’activation du chargeur déclenche un processus en plusieurs étapes pour établir la persistance sur l’hôte et extraire une bibliothèque de liens dynamiques (DLL) chargée de libérer les charges utiles finales.
L’un d’entre eux est RedLine Clipper, un exécutable .NET permettant de voler des crypto-monnaies en altérant le presse-papiers du système de l’utilisateur pour remplacer l’adresse du portefeuille de destination par une adresse contrôlée par l’attaquant.
« Pour réaliser cette opération, RedLine Clipper utilise le ‘OnClipboardChangeEventHandler‘pour surveiller régulièrement les modifications du presse-papiers et vérifier si la chaîne copiée est conforme à l’expression régulière », a déclaré Lin.
Agent Teslad’autre part, est un cheval de Troie d’accès à distance (RAT) basé sur .NET et un voleur de données permettant d’obtenir un accès initial et d’exfiltrer des informations sensibles telles que les frappes au clavier et les informations de connexion utilisées dans les navigateurs Web vers un serveur de commande et de contrôle (C2). via le protocole SMTP.
Un nouveau malware baptisé OriginBotnet est également livré, qui intègre un large éventail de fonctionnalités pour collecter des données, établir des communications avec son serveur C2 et télécharger des plugins supplémentaires à partir du serveur pour exécuter des fonctions d’enregistrement de frappe ou de récupération de mot de passe sur des points finaux compromis.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
« Le plugin PasswordRecovery récupère et organise les informations d’identification de divers comptes de navigateur et de logiciel », a déclaré Lin. « Il enregistre ces résultats et les rapporte via des requêtes HTTP POST. »
Il convient de noter qu’en septembre 2022, l’unité 42 de Palo Alto Networks a détaillé un successeur de l’agent Tesla appelé OriginLogger, doté de fonctionnalités similaires à celles d’OriginBotnet, suggérant qu’ils pourraient tous deux être l’œuvre du même acteur menaçant.
« Cette campagne de cyberattaque […] impliquait une chaîne complexe d’événements », a déclaré Fortinet. « Cela a commencé par un document Word malveillant distribué via des e-mails de phishing, conduisant les victimes à télécharger un chargeur qui exécutait une série de charges utiles de logiciels malveillants. L’attaque a démontré des techniques sophistiquées pour échapper à la détection et maintenir la persistance sur les systèmes compromis. »