Les cybercriminels surfent sur les vagues tendances. Alors que, depuis plusieurs semaines, le télescope spatial James Webb fourni de remarquables images de l’univers et de tout ce qui est au-delà de notre système solaire, les cybercriminels ont décidé d’infiltrer cette vague d’exploration et de réaliser une campagne de diffusion de malware nommée Go#Webbfuscator.
C’est ce que nous apprend le site lemondeinformatique.fr en date du 1er septembre 2022, reprenant une information de l’éditeur Securonix.
Comment les cybercriminels s’y prennent-ils ? Tout simplement, en s’appuyant sur du phishing, des documents malveillants et des images du télescope en y insérant un malware.
Une image infiltrée
Le malware utilise un langage de programmation qui s’adapte à toutes les plateformes (Windows, Linux, Mac) : Golang.
Les chercheurs de Securonix nous informent que l’attaque débute par une infection via un email de phishing contenant une pièce jointe malveillante, « Geos-Rate.docx ». Cette dernière comprend une référence externe introduite dans les métadonnées du document qui procède au téléchargement d’un template malveillant. À l’intérieur de ce template, une macro VBS obfusquée, ou brouillée, s’exécute de manière automatique si les macros sont activées dans la suite Office.
S’ensuit un téléchargement d’une image au format JPEG. Si l’internaute l’ouvre avec un éditeur de texte, un contenu supplémentaire déguisé en certificat est découvert. Attention, cette image montre l’amas de galaxies SMACS 023 publié par la NASA en juillet dernier.
« Exfiltrer des données sensibles »
Lorsque le malware s’exécute, il établit une connexion DNS avec le serveur de commande et de contrôle et envoie des requêtes chiffrées.
“Cette technique fonctionne en envoyant une chaîne chiffrée ajoutée à la requête DNS définie en tant que sous-domaine. Nous avons observé un comportement similaire avec des outils d’exfiltration DNS tels que DNSCAT2, indique Securonix. Les messages chiffrés sont lus et non chiffrés sur le serveur C2, révélant ainsi son contenu original. Cette pratique peut être utilisée soit pour établir un canal crypté pour le commandement et le contrôle, soit pour exfiltrer des données sensibles.”
« L’utilisation d’une image légitime pour créer un binaire Golang avec Certutil n’est pas très courante »
Avec cette action, c’est une nouvelle forme d’attaque par les cybercriminels qui est mise au jour. Et Securonix, de conclure : “Globalement, les TTP (Tactics techniques, and procedures) observés avec GO#WEBBFUSCATOR tout au long de la chaîne d’attaque sont assez intéressants. L’utilisation d’une image légitime pour créer un binaire Golang avec Certutil n’est pas très courante dans notre expérience ou typique et quelque chose que nous suivons de près. Il est clair que l’auteur original du binaire a conçu la charge utile en gardant à l’esprit à la fois des méthodologies triviales de contre-investigation et de détection anti-EDR (Endpoint detection and response).”
