Une campagne de logiciels malveillants cible le secteur bancaire en Afrique

VLADIMIR AMAN 14 avril 2022 261 Vues

Une campagne de malware cible le secteur bancaire depuis le début de l’année 2022. C’est le constat qu’a fait un spécialiste en cybersécurité de la firme HP Wolf Security. Il s’agit d’une campagne ciblée qui présente des caractéristiques et fait appel à des techniques innovantes de distribution de malware. En effet, au début de l’année 2022, un employé de la banque africaine développement a reçu un e-mail prétendant provenir d’un recruteur pour le compte d’une autre banque africaine.

TYPOLOGIE DES ATTAQUES RÉALISÉES

Un leurre bien élaboré

Les attaquants ont enregistré un nom de domaine « typosquatté » de celui de la banque africaine de développement pour l’envoi des e-mails, avec une adresse de réponse réelle d’un agent de la BAD, dans l’objectif de rendre le leurre crédible. Deux autres domaines typosquattés de celui de la BAD ont été découvert par les experts. L’un affichait une page Web imitant le site légitime et décriant le processus de demande d’emploi de la banque africaine de développement. Cette page ne contient ni malware, ni formulaire de saisie qui pourrait être utilisé pour obtenir des identifiants de connexion ou des informations sensibles des visiteurs comme dans un phishing classique. L’autre domaine affichait une copie de la page d’accueil du site web de la banque imitée, également sans aucun logiciel malveillant, ni signe indiquant que le site était utilisé à des fins de phishing. Cependant, les analystes ont découvert que deux domaines contenant des enregistrements DNS TXT pour Sender Policy Framework (SPF), ce qui suggère qu’ils étaient probablement utilisés pour envoyer des e-mails malveillants.

Des logiciels malveillants diffusés de manière astucieuse

Le destinataire ciblé a reçu une pièce jointe au format HTML portant le nom « Fiche de dossiers.htm ». L’ouverture du fichier joint avec un éditeur de texte révèle le code source de la page et indique qu’il contient des données codées et une fonction de décodage. Il s’agit d’un fichier ISO encodé en Base64 qui est ensuite décodé et proposé à l’utilisateur dans une invite de téléchargement du navigateur Web à l’aide d’un blob JavaScript.

Le malware est délivré via la technique du HTML smuggling qui permet aux attaquants d’insérer le code malveillant en les encodant dans un fichier HTML, afin de déjouer les mesures de sécurité et filtrage présentes aux passerelles de messagerie. Les blobs JavaScript ou les attributs de téléchargement HTML5 peuvent être utilisés pour décoder et reconstruire le fichier. Lorsque l’utilisateur ouvre la pièce jointe HTML à l’aide d’un navigateur Web, il est invité à télécharger le fichier, qui est déjà stocké sur le système local. Ainsi, le HTML smuggling contourne les contrôles de sécurité qui bloquent le trafic de sites Web malveillants, tels que les proxys Web. La technique est dangereuse car les pièces jointes HTML ne sont généralement pas bloquées au niveau des passerelles et la détection des logiciels malveillants codés peut être difficile. En utilisant cette technique, des types de fichiers dangereux peuvent être introduits clandestinement dans une organisation et entraîner une infection par un logiciel malveillant.

Dans la cas d’espèce, Le script contient des variables, telles qu’une clé de registre ou un chemin d’accès à PowerShell.exe, et certaines données codées. Lorsque le script est exécuté, il crée une nouvelle clé de registre et y stocke une longue chaîne hexadécimale. Ensuite, PowerShell est exécuté et transmet une commande codée. Windows 10, double-cliquez sur le fichier ISO pour le monter en tant que support de disque, ce qui ouvre une nouvelle fenêtre de l’Explorateur de fichiers qui affiche son contenu.

À l’intérieur se trouve un fichier Visual Basic Script (VBS) appelé Fiche de candidature.vbs qui s’exécute lors d’un double-clic.

Le script PowerShell qui exécute une simple fonction de déchiffrement qui permet en bout de chaine au code malveillant GuLoader de s’exécuter. Ce logiciel malveillant est un chargeur qui télécharge et exécute d’autres familles de logiciels malveillants à partir du Web. Dans cette campagne, GuLoader a été configuré pour télécharger et exécuter le logiciel malveillant RemcosRAT. À cette fin, il existe deux URL dans la configuration de GuLoader qui mènent à la charge au logiciel malveillant RemcosRAT.

Un accès total à la machine de la victime

Remcos est un outil d’accès à distance Windows (RAT) qui donne à l’opérateur un contrôle significatif sur le système infecté. Ses capacités incluent l’exécution de commandes à distance, le téléchargement et le téléchargement de fichiers, la prise de captures d’écran, l’enregistrement de frappes au clavier et l’enregistrement de la webcam et du microphone de l’utilisateur. Entre autres, il peut permettre :

  • d’avoir un accès persistant à long terme dans le but d’effectuer des transactions frauduleuses, par exemple via le système de paiement SWIFT. Cela obligerait l’auteur de la menace à déployer des outils pour comprendre le réseau, se déplacer latéralement, surveiller les procédures internes et en tirer parti ;
  • profiter de la position de l’employé dans la banque pour accéder à de l’information sensible puisqu’il aurait accès à son compte de messagerie d’entreprise.
  • Effectuer un déplacement latéralement dans le but de compromettre les contrôleurs de domaine pour déployer des rançongiciels.
  • Voler des données sensibles/protégées qui pourraient être utilisées pour rançonner la cible.
  • Vendre les accès obtenus sur des places de marché illégales en ligne.
En résumé

Le schéma global de cette campagne tel que décrit par HP Wolf Security se décline comme suit :

  • des e-mails contenant des fichiers HTML en apparence inoffensifs sont envoyés à partir de domaines typosquattés d’une banque légitime pour inciter les utilisateurs à postuler à un emploi en ouvrant une pièce jointe malveillante.
  • Cette technique passe les contrôles de sécurité de la messagerie et sont délivrés dans la boite de réception de l’utilisateur
  • A l’ouverture du fichier HTML, une boite de dialogue invite l’utilisateur à télécharger un fichier ISO, qui contient à son tour un script Visual Basic porteur de la charge nuisible une infection par un logiciel malveillant lorsqu’il est exécuté. Cette technique s’appelle HTML smuggling et est dangereuse car elle permet aux attaquants de faire passer clandestinement des fichiers malveillants au-delà de la sécurité de la passerelle de messagerie.
  • Un logiciel malveillant (GuLoader) est exécuté à l’aide de PowerShell dans le registre et en mémoire, ce qui rend sa détection extrêmement complexe, voire impossible.
  • Une fois exécuté il télécharge d’autres logiciels malveillants sur la machine de la ictime et peut en prendre le contrôle total.

COMMENT SE PROTÉGER ?

  • Modifier l’application par défaut permettant d’ouvrir les fichiers de script (.vbs) par un éditeur de texte, par exemple, le Bloc-note ou NotePad ;
  • Mettre en œuvre des mesures de surveillance du réseau pour surveiller et bloquer précocement les comportements inhabituels des processus. Au-delà de cela, il est important que les employés
  • Sensibiliser et éduquer les employés, utilisateurs sur les techniques de détection des e-mails malveillants, notamment si un e-mail fait naitre un sentiment d’urgence, de curiosité et d’autorité ;
  • Mettre des mesures de signalement automatiquement de e-mails suspicieux reçus.
Source: https://threatresearch.ext.hp.com/malware-campaigns-targeting-african-banking-sector/

A propos de VLADIMIR AMAN

Est un professionnel de la cybersécurité justifiant d'une expérience de plus de 10 ans dans le domaine de la cybersécurité, à différentes fonctions au sein d’organisations étatiques. Fort de son background universitaire en criminologie appliquée, il a acquis de solides compétences techniques en sécurité informatique offensive, forensique, hacking éthique et management de la sécurité de l’information, sanctionnées par les certifications internationales les plus prestigieuses du marché (CISSP, OCIPA, ISO 27001 Lead Auditor/lead implementer, ISO 27032 Lead Cybersecurity Manager, Certified Ethical Hacker). Auteur, blogueur, conférencier, il est créateur du site "hacktu Magazine" et auteur de plusieurs ouvrages liés à la cybersécurité et la cybercriminologie.

Voir aussi

Google a trouvé de nouveaux exploits qui installent des logiciels espions sur Android et iOS

L' équipe Google Threat Analysis Group (TAG) a identifié un autre lot d'exploits relatifs à des vulnérabilités zero-day (0-day) dans Android , iOS et Chrome. Ces exploits sont utilisé par les cybercriminels pour installer des logiciels espions sur les appareils des victimes. Les types d'attaque observés commencent par un message texte contenant un lien raccourci utilisant le service de raccourcissement d'URL "bit.ly".

Développé et mis en ligne par Remetou Design
© Copyright 2025, Tous droits réservés