Des entités ukrainiennes basées en Finlande ont été ciblées dans le cadre d’une campagne malveillante distribuant un cheval de Troie commercial d’accès à distance connu sous le nom de Remcos RAT à l’aide d’un chargeur de malware appelé IDAT Loader.
L’attaque a été attribuée à un acteur menaçant suivi par l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) sous le surnom d’UAC-0184.
« L’attaque, dans le cadre de l’IDAT Loader, a utilisé la stéganographie comme technique », a déclaré Michael Dereviashkin, chercheur à Morphisec. dit dans un rapport partagé avec The Hacker News. « Bien que les techniques stéganographiques, ou « Stego », soient bien connues, il est important de comprendre leur rôle dans l’évasion défensive, afin de mieux comprendre comment se défendre contre de telles tactiques. »
IDAT Loader, qui chevauche une autre famille de chargeurs appelée Hijack Loader, a été utilisé pour servir des charges utiles supplémentaires telles que DanaBot, SystemBC et RedLine Stealer ces derniers mois. Il a également été utilisé par un acteur malveillant identifié sous le nom de TA544 pour distribuer Remcos RAT et SystemBC via des attaques de phishing.
La campagne de phishing – divulgué pour la première fois par CERT-UA début janvier 2024 – impliquent l’utilisation de leurres sur le thème de la guerre comme point de départ pour lancer une chaîne d’infection qui conduit au déploiement d’IDAT Loader, qui, à son tour, utilise un PNG stéganographique intégré pour localiser et extraire Remcos RAT.
Le développement intervient sous le nom de CERT-UA révélé que les forces de défense du pays ont été ciblées via l’application de messagerie instantanée Signal pour distribuer un document Microsoft Excel piégé qui exécute COOKBOX, un malware basé sur PowerShell capable de charger et d’exécuter applets de commande. Le CERT-UA a attribué l’activité à un cluster baptisé UAC-0149.
Cela fait également suite à la résurgence des campagnes de malware propageant le malware PikaBot depuis le 8 février 2024, en utilisant une variante mise à jour qui semble être actuellement en développement actif.
« Cette version du chargeur PIKABOT utilise une nouvelle méthode de décompression et un obscurcissement important », Elastic Security Labs dit. « Le module principal a ajouté une nouvelle implémentation de décryptage de chaîne, des modifications à la fonctionnalité d’obscurcissement et diverses autres modifications. »