Un certain nombre de campagnes de phishing exploitent le réseau IPFS (Interplanetary Filesystem) décentralisé pour héberger des logiciels malveillants, une infrastructure de kits de phishing et faciliter d’autres attaques.
« Plusieurs familles de logiciels malveillants sont actuellement hébergées dans IPFS et récupérées au cours des premières étapes des attaques de logiciels malveillants », a déclaré Edmund Brumaghin, chercheur chez Cisco Talos, dans un communiqué. une analyse partagé avec The Hacker News.
La recherche reflète des conclusions similaires de Trustwave SpiderLabs en juillet 2022, qui ont trouvé plus de 3 000 e-mails contenant des URL de phishing IPFS comme vecteur d’attaque, appelant IPFS le nouveau « foyer » pour l’hébergement de sites de phishing.
IPFS en tant que technologie est à la fois résistante à la censure et aux retraits, ce qui en fait une arme à double tranchant. Sous-jacent, il y a un réseau peer-to-peer (P2P) qui réplique le contenu sur tous les nœuds participants de sorte que même si le contenu est supprimé d’une machine, les demandes de ressources peuvent toujours être servies via d’autres systèmes.
Cela le rend également propice aux abus de la part d’acteurs malveillants cherchant à héberger des logiciels malveillants capables de résister aux tentatives des forces de l’ordre de perturber leur infrastructure d’attaque, comme on l’a vu dans le cas d’Emotet l’année dernière.
« IPFS est actuellement abusé par une variété d’acteurs malveillants qui l’utilisent pour héberger des contenus malveillants dans le cadre de campagnes de phishing et de distribution de logiciels malveillants », avait précédemment déclaré Brumaghin à The Hacker News en août 2022.
Cela inclut Dark Utilities, un cadre de commande et de contrôle (C2) annoncé comme un moyen pour les adversaires d’accéder au système à distance, aux capacités DDoS et à l’extraction de crypto-monnaie, avec les binaires de charge utile fournis par la plate-forme hébergée dans IPFS.
De plus, IPFS a été utilisé pour servir des pages de destination malveillantes dans le cadre de campagnes de phishing orchestrées pour voler des informations d’identification et distribuer un large éventail de logiciels malveillants comprenant l’agent Tesla, des shells inversés, un effaceur de données et un voleur d’informations appelé Hannabi Grabber.
Dans une chaîne de livraison de malspam détaillée par Talos, un e-mail prétendant provenir d’une institution financière turque a exhorté le destinataire à ouvrir une pièce jointe de fichier ZIP qui, une fois lancée, a fonctionné comme un téléchargeur pour récupérer une version obscurcie de l’agent Tesla hébergée sur le réseau IPFS. .
Le malware destructeur, pour sa part, prend la forme d’un fichier batch qui supprime les sauvegardes et purge de manière récursive tout le contenu des répertoires. Hannabi Grabber est un logiciel malveillant basé sur Python qui collecte des informations sensibles de l’hôte infecté, telles que des données de navigateur et des captures d’écran, et les transmet via un Discord Webhook.
Le dernier développement indique l’utilisation croissante par les attaquants d’offres légitimes telles que Discord, Slack, Telegram, Dropbox, Google Drive, AWS et plusieurs autres pour héberger du contenu malveillant ou pour y diriger les utilisateurs, faisant du phishing l’une des principales activités lucratives. vecteurs d’accès.
« Nous nous attendons à ce que cette activité continue d’augmenter à mesure que de plus en plus d’acteurs de la menace reconnaissent qu’IPFS peut être utilisé pour faciliter l’hébergement à l’épreuve des balles, est résilient contre la modération de contenu et les activités d’application de la loi, et introduit des problèmes pour les organisations qui tentent de détecter et de se défendre contre les attaques qui peuvent exploiter le réseau IPFS », a déclaré Brumaghin.