Les leurres sur le thème COVID ciblent les secteurs SCADA avec des logiciels malveillants de vol de données

Une nouvelle campagne de logiciels malveillants a été découverte utilisant des leurres sur le thème des coronavirus pour frapper les secteurs gouvernemental et énergétique en Azerbaïdjan avec des chevaux de Troie d'accès à distance (RAT) capables d'exfiltrer des documents sensibles, des frappes, des mots de passe et même des images de la webcam.

Les attaques ciblées utilisent des documents Microsoft Word comme compte-gouttes pour déployer un RAT basé sur Python inconnu, surnommé "PoetRAT" en raison de diverses références aux sonnets par le dramaturge anglais William Shakespeare.

"Le RAT possède toutes les fonctionnalités standard de ce type de malware, fournissant un contrôle total du système compromis à l'opération", a déclaré Cisco Talos dans une analyse publiée la semaine dernière.

Selon les chercheurs, le malware cible spécifiquement les systèmes de contrôle de supervision et d'acquisition de données (SCADA) dans l'industrie de l'énergie, tels que les systèmes d'éoliennes, dont l'identité n'est actuellement pas connue.

Le développement est le dernier d'une vague de cyberattaques exploitant les craintes de pandémie de coronavirus en cours comme appât pour installer des logiciels malveillants, voler des informations et réaliser un profit.
 

Utilisation de leurres à thème COVID-19 comme leurre


La campagne fonctionne en ajoutant PoetRAT à un document Word qui, une fois ouvert, exécute une macro qui extrait le malware et l'exécute.

Le mécanisme de distribution exact du document Word reste incertain, mais étant donné que les documents sont disponibles pour téléchargement à partir d'une simple URL, les chercheurs soupçonnent que les victimes sont amenées à télécharger la RAT via des URL malveillantes ou des e-mails de phishing.

Talos a déclaré avoir découvert cette attaque en trois vagues à partir de février, dont certaines utilisaient des documents de leurre prétendant provenir d'agences gouvernementales azerbaïdjanaises et de l'Organisation indienne de recherche et de développement pour la défense (DRDO), ou faisant allusion à COVID-19 dans leurs noms de fichiers ("C19 .docx ") sans aucun contenu réel.
 

 malware

 

Quel que soit le vecteur d'attaque, la macro Visual Basic Script du document écrit le malware sur le disque sous la forme d'un fichier d'archive nommé "smile.zip", qui se compose d'un interpréteur Python et du RAT lui-même.

Le script Python vérifie également l'environnement dans lequel le document est ouvert pour s'assurer qu'il ne se trouve pas dans un bac à sable - en supposant que les bacs à sable ont des disques durs inférieurs à 62 Go. S'il détecte un environnement en bac à sable, il se supprime du système.
 

Apporter des modifications au Registre pour gagner en persistance

 

Quant au RAT, il est livré avec deux scripts: un "frown.py" qui est chargé de communiquer avec un serveur de commande et de contrôle (C2) à distance avec un identifiant de périphérique unique, et un "smile.py" qui gère l'exécution des commandes C2 sur la machine compromise.
Les commandes permettent à un attaquant de télécharger des fichiers sensibles, de capturer des captures d'écran, de mettre fin aux processus système, de consigner les frappes ("Klog.exe") et de voler les mots de passe stockés dans les navigateurs ("Browdec.exe").
En plus de cela, l'adversaire derrière la campagne a également déployé des outils d'exploitation 
supplémentaires, y compris "dog.exe", un logiciel malveillant basé sur .NET qui surveille les chemins d'accès au disque dur et transmet automatiquement les informations via un compte de messagerie ou un FTP. Un autre outil appelé "Bewmac" permet à l'attaquant de prendre le contrôle de la webcam de la victime.

Le malware gagne en persistance en créant des clés de registre pour exécuter le script Python et peut même apporter des modifications au registre pour contourner la vérification d'évasion du bac à sable susmentionnée, peut-être pour éviter de revérifier à nouveau le même environnement.

"L'acteur a surveillé des répertoires spécifiques, signalant qu'ils voulaient exfiltrer certaines informations sur les victimes", ont conclu les chercheurs de Talos.

"L'attaquant voulait non seulement des informations spécifiques obtenues auprès des victimes, mais également un cache complet des informations relatives à leur victime. En utilisant Python et d'autres outils basés sur Python pendant sa campagne, l'acteur aurait pu éviter d'être détecté par des outils traditionnels qui ont mis Python sur liste blanche. et les techniques d'exécution Python. "