Une nouvelle campagne de phishing utilise des documents Microsoft Word leurres comme appât pour proposer une porte dérobée écrite dans le langage de programmation Nim.
« Les logiciels malveillants écrits dans des langages de programmation peu courants désavantagent la communauté de la sécurité, car le manque de familiarité des chercheurs et des ingénieurs inverseurs peut entraver leur enquête », ont déclaré les chercheurs de Netskope, Ghanashyam Satpathy et Jan Michael Alcantara. dit.
Les logiciels malveillants basés sur Nim sont rares dans le paysage des menaces, même si cela a lentement changé ces dernières années, les attaquants continuant à développer des outils personnalisés à partir de zéro en utilisant le langage ou à y porter des versions existantes de leurs programmes infâmes.
Cela a été démontré dans le cas de chargeurs tels que NimzaLoader, Nimbda, IceXLoader, ainsi que de familles de ransomwares traquées sous les noms Dark Power et Kanti.
La chaîne d’attaque documentée par Netskope commence par un e-mail de phishing contenant une pièce jointe d’un document Word qui, une fois ouvert, invite le destinataire à activer les macros pour activer le déploiement du malware Nim. L’expéditeur de l’e-mail se déguise en fonctionnaire du gouvernement népalais.
Une fois lancé, l’implant est chargé d’énumérer les processus en cours pour déterminer l’existence d’outils d’analyse connus sur l’hôte infecté et se terminer rapidement s’il en trouve un.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Sinon, la porte dérobée établit des connexions avec un serveur distant qui imite un domaine gouvernemental du Népal, notamment le Centre national des technologies de l’information (NITC), et attend des instructions supplémentaires. Les serveurs de commande et de contrôle (C2) ne sont plus accessibles –
- mail[.]mofa[.]gouvernement[.]org
- nitc[.]gouvernement[.]org
- mx1[.]Népal[.]gouvernement[.]org
- DNS[.]gouvernement[.]org
« Nim est un langage de programmation compilé à typage statique », ont expliqué les chercheurs. « Outre sa syntaxe familière, ses fonctionnalités de compilation croisée permettent aux attaquants d’écrire une variante de malware et de la compiler de manière croisée pour cibler différentes plates-formes. »
La divulgation intervient alors que Cyble révélé une campagne d’ingénierie sociale qui exploite les messages sur les plateformes de médias sociaux pour diffuser un nouveau malware voleur basé sur Python appelé Editbot Stealer, conçu pour récolter et exfiltrer des données précieuses via un canal Telegram contrôlé par des acteurs.
Même si les auteurs de menaces expérimentent de nouvelles souches de logiciels malveillants, des campagnes de phishing ont également été observées distribuant des logiciels malveillants connus tels que DarkGate et NetSupport RAT par courrier électronique et des sites Web compromis avec de faux leurres de mise à jour (alias RogueRaticate), en particulier ceux d’un cluster baptisé BattleRoyal.
La société de sécurité d’entreprise Proofpoint a déclaré avoir identifié au moins 20 campagnes utilisant le malware DarkGate entre septembre et novembre 2023, avant de passer à NetSupport RAT plus tôt ce mois-ci.
Une séquence d’attaque identifiée début octobre 2023 se distingue particulièrement par le chaînage de deux systèmes de distribution de trafic (TDS) – 404 TDS et Keitaro TDS – pour filtrer et rediriger les victimes répondant à leurs critères vers un domaine exploité par un acteur hébergeant une charge utile qui exploitait CVE-2023. 36025 (score CVSS : 8,8), un contournement de sécurité Windows SmartScreen de haute gravité qui a été résolu par Microsoft en novembre 2023.
Cela implique que BattleRoyal a transformé cette vulnérabilité en Zero-Day un mois avant qu’elle ne soit révélée publiquement par le géant de la technologie.
DarkGate est conçu pour voler des informations et télécharger des charges utiles de logiciels malveillants supplémentaires, tandis que NetSupport RAT, qui a commencé comme un véritable outil d’administration à distance, s’est métamorphosé en une arme puissante utilisée par des acteurs malveillants pour infiltrer les systèmes et établir un contrôle à distance sans entrave.
« Les acteurs de la menace cybercriminelle [are] en adoptant des chaînes d’attaque nouvelles, variées et de plus en plus créatives – y compris l’utilisation de divers outils TDS – pour permettre la diffusion de logiciels malveillants, » Proofpoint dit.
« De plus, l’utilisation d’e-mails et de fausses mises à jour montre que l’acteur utilise plusieurs types de techniques d’ingénierie sociale pour tenter d’amener les utilisateurs à installer la charge utile finale. »
DarkGate a également été utilisé par d’autres acteurs malveillants comme TA571 et TA577, tous deux connus pour diffuser une variété de logiciels malveillants, notamment AsyncRAT, NetSupport, IcedID, PikaBot et QakBot (alias Qbot).
« TA577, par exemple, l’un des principaux distributeurs de Qbot, est revenu aux données sur les menaces par courrier électronique en septembre pour diffuser le logiciel malveillant DarkGate et a depuis été observé en train de diffuser PikaBot dans le cadre de campagnes comportant généralement des dizaines de milliers de messages », Selena Larson, analyste principale en matière de renseignements sur les menaces. chez Proofpoint, a déclaré à The Hacker News.