Des entit\u00e9s ukrainiennes bas\u00e9es en Finlande ont \u00e9t\u00e9 cibl\u00e9es dans le cadre d’une campagne malveillante distribuant un cheval de Troie commercial d’acc\u00e8s \u00e0 distance connu sous le nom de Remcos RAT \u00e0 l’aide d’un chargeur de malware appel\u00e9 IDAT Loader.<\/p>\n
L’attaque a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur mena\u00e7ant suivi par l’\u00e9quipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) sous le surnom d’UAC-0184.<\/p>\n
“L’attaque, dans le cadre de l’IDAT Loader, a utilis\u00e9 la st\u00e9ganographie comme technique”, a d\u00e9clar\u00e9 Michael Dereviashkin, chercheur \u00e0 Morphisec. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News. “Bien que les techniques st\u00e9ganographiques, ou “Stego”, soient bien connues, il est important de comprendre leur r\u00f4le dans l’\u00e9vasion d\u00e9fensive, afin de mieux comprendre comment se d\u00e9fendre contre de telles tactiques.”<\/p>\n IDAT Loader, qui chevauche une autre famille de chargeurs appel\u00e9e Hijack Loader, a \u00e9t\u00e9 utilis\u00e9 pour servir des charges utiles suppl\u00e9mentaires telles que DanaBot, SystemBC et RedLine Stealer ces derniers mois. Il a \u00e9galement \u00e9t\u00e9 utilis\u00e9 par un acteur malveillant identifi\u00e9 sous le nom de TA544 pour distribuer Remcos RAT et SystemBC via des attaques de phishing.<\/p>\n La campagne de phishing \u2013 divulgu\u00e9 pour la premi\u00e8re fois<\/a> par CERT-UA d\u00e9but janvier 2024 \u2013 impliquent l’utilisation de leurres sur le th\u00e8me de la guerre comme point de d\u00e9part pour lancer une cha\u00eene d’infection qui conduit au d\u00e9ploiement d’IDAT Loader, qui, \u00e0 son tour, utilise un PNG st\u00e9ganographique int\u00e9gr\u00e9 pour localiser et extraire Remcos RAT.<\/p>\n Le d\u00e9veloppement intervient sous le nom de CERT-UA r\u00e9v\u00e9l\u00e9<\/a> que les forces de d\u00e9fense du pays ont \u00e9t\u00e9 cibl\u00e9es via l’application de messagerie instantan\u00e9e Signal pour distribuer un document Microsoft Excel pi\u00e9g\u00e9 qui ex\u00e9cute COOKBOX, un malware bas\u00e9 sur PowerShell capable de charger et d’ex\u00e9cuter applets de commande<\/a>. Le CERT-UA a attribu\u00e9 l’activit\u00e9 \u00e0 un cluster baptis\u00e9 UAC-0149.<\/p>\n Cela fait \u00e9galement suite \u00e0 la r\u00e9surgence des campagnes de malware propageant le malware PikaBot depuis le 8 f\u00e9vrier 2024, en utilisant une variante mise \u00e0 jour qui semble \u00eatre actuellement en d\u00e9veloppement actif.<\/p>\n “Cette version du chargeur PIKABOT utilise une nouvelle m\u00e9thode de d\u00e9compression et un obscurcissement important”, Elastic Security Labs dit<\/a>. “Le module principal a ajout\u00e9 une nouvelle impl\u00e9mentation de d\u00e9cryptage de cha\u00eene, des modifications \u00e0 la fonctionnalit\u00e9 d’obscurcissement et diverses autres modifications.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Nouvelles-attaques-de-chargeur-IDAT-utilisant-la-steganographie-pour-deployer.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n