Un acteur menaçant jusqu’alors sans papiers surnommé VIN ÉPICÉ a été observé ciblant des fonctionnaires dans des pays européens ayant des missions diplomatiques indiennes en utilisant une nouvelle porte dérobée appelée CHARGEUR DE VIN.
L’adversaire, selon un rapport de Zscaler ThreatLabz, a utilisé un fichier PDF dans des e-mails prétendant provenir de l’ambassadeur de l’Inde, invitant le personnel diplomatique à une dégustation de vins le 2 février 2024.
Le Document PDF a été téléchargé sur VirusTotal depuis la Lettonie le 30 janvier 2024. Cela dit, il existe des preuves suggérant que cette campagne pourrait avoir été active au moins depuis le 6 juillet 2023, d’après la découverte de un autre fichier PDF similaire téléchargé depuis le même pays.
« L’attaque se caractérise par son très faible volume et les tactiques, techniques et procédures (TTP) avancées utilisées dans l’infrastructure de malware et de commande et contrôle (C2), » ont déclaré les chercheurs en sécurité Sudeep Singh et Roy Tay.
Au cœur de cette nouvelle attaque se trouve le fichier PDF qui contient un lien malveillant se faisant passer pour un questionnaire, invitant les destinataires à le remplir afin de participer. En cliquant sur le lien, vous ouvrez la voie à une application HTML (« wine.hta ») contenant du code JavaScript obscurci pour récupérer une archive ZIP codée portant WINELOADER du même domaine.
Le malware est livré avec un module principal conçu pour exécuter des modules à partir du serveur C2, s’injecter dans une autre bibliothèque de liens dynamiques (DLL) et mettre à jour l’intervalle de veille entre les requêtes de balise.
Un aspect notable des cyber-incursions est l’utilisation de sites Web compromis pour le C2 et l’hébergement de charges utiles intermédiaires. On soupçonne que « le serveur C2 ne répond qu’à certains types de requêtes à certains moments », rendant ainsi les attaques plus évasives.
« L’acteur malveillant a déployé des efforts supplémentaires pour rester indétectable en évitant les analyses de mémoire et les solutions automatisées d’analyse d’URL », ont déclaré les chercheurs.