Une nouvelle campagne menée par le groupe de piratage TA558 dissimule du code malveillant à l’intérieur d’images à l’aide de la stéganographie pour fournir divers outils malveillants sur des systèmes ciblés.
La stéganographie est la technique consistant à cacher des données dans des fichiers apparemment inoffensifs pour les rendre indétectables par les utilisateurs et les produits de sécurité.
TA558 est un acteur menaçant actif depuis 2018, connu pour cibler les organisations hôtelières et touristiques du monde entier, en se concentrant sur l’Amérique latine.
La dernière campagne du groupe, baptisée « SteganoAmor » en raison de l’utilisation intensive de la stéganographie, a été découverte par Positive Technologies. Les chercheurs ont identifié plus de 320 attaques dans cette campagne qui ont touché divers secteurs et pays.
Attaques de stéganoamour
Les attaques commencent par des courriels malveillants contenant des pièces jointes de documents apparemment inoffensifs (fichiers Excel et Word) qui exploitent la faille CVE-2017-11882, une vulnérabilité couramment ciblée de l’éditeur d’équations Microsoft Office corrigée en 2017.
Les e-mails sont envoyés à partir de serveurs SMTP compromis pour minimiser les risques de blocage des messages car ils proviennent de domaines légitimes.
Si une ancienne version de Microsoft Office est installée, l’exploit téléchargera un script Visual Basic (VBS) à partir du collage légitime lors de l’ouverture du fichier. service d’ee. Ce script est ensuite exécuté pour récupérer un fichier image (JPG) contenant une charge utile codée en base64.
Le code PowerShell à l’intérieur du script contenu dans l’image télécharge la charge utile finale cachée dans un fichier texte sous la forme d’un exécutable codé en base64 inversé.
Positive Technologies a observé plusieurs variantes de la chaîne d’attaque, offrant un large éventail de familles de logiciels malveillants, notamment:
- AgentTesla-Logiciel espion qui fonctionne comme un enregistreur de frappe et un voleur d’informations d’identification, capturant les frappes au clavier, les données du presse-papiers du système, prenant des captures d’écran et exfiltrant d’autres informations sensibles.
- FormBook-malware Infostealer qui récupère les informations d’identification de divers navigateurs Web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et peut télécharger et exécuter des fichiers en fonction des commandes qu’il reçoit.
- Remcos-Malware qui permet à l’attaquant de gérer à distance une machine compromise, d’exécuter des commandes, de capturer des frappes au clavier et d’allumer la webcam et le microphone pour la surveillance.
- LokiBot-Voleur d’informations qui cible des données telles que les noms d’utilisateur, les mots de passe et d’autres informations liées à de nombreuses applications couramment utilisées.
- Guloader-Téléchargeur utilisé pour distribuer des charges utiles secondaires, généralement regroupées pour échapper à la détection antivirus.
- Snake Keylogger-Logiciel malveillant volant des données qui enregistre les frappes au clavier, collecte les données du presse-papiers du système, capture des captures d’écran et récupère les informations d’identification des navigateurs Web.
- XWorm-Cheval de Troie d’accès à distance (RAT) qui donne à l’attaquant le contrôle à distance de l’ordinateur infecté.
Les charges utiles finales et les scripts malveillants sont souvent stockés dans des services cloud légitimes comme Google Drive, profitant de leur bonne réputation pour éviter d’être signalés par les outils antivirus.
Les informations volées sont envoyées à des serveurs FTP légitimes compromis utilisés comme infrastructure de commande et de contrôle (C2) pour que le trafic paraisse normal.
Positive Technologies a découvert plus de 320 attaques, la plupart concentrées dans les pays d’Amérique latine, mais la portée du ciblage s’étend au monde entier.
L’utilisation d’un bogue de sept ans dans la chaîne d’attaques de TA558 facilite assez la défense contre SteganoAmor, car la mise à jour de Microsoft Office vers une version plus récente rendrait ces attaques inefficaces.