Un nouveau ver à propagation automatique nommé « CMoon », capable de voler les informations d’identification des comptes et d’autres données, est distribué en Russie depuis début juillet 2024 via un site Web compromis d’une société d’approvisionnement en gaz.
Selon les chercheurs de Kaspersky qui ont découvert la campagne, CMoon peut exécuter un large éventail de fonctions, notamment charger des charges utiles supplémentaires, prendre des captures d’écran et lancer des attaques par déni de service distribué (DDoS).
À en juger par le canal de distribution utilisé par les acteurs de la menace, leur périmètre de ciblage est axé sur des cibles de grande valeur plutôt que sur des internautes aléatoires, ce qui indique une opération sophistiquée.
Mécanisme de distribution
Kaspersky indique que la chaîne d’infection commence lorsque les utilisateurs cliquent sur des liens vers des documents réglementaires (docx,.xlsx, .rtf, et .pdf) trouvé sur différentes pages du site Web d’une entreprise qui fournit des services de gazéification et d’approvisionnement en gaz à une ville russe.
Les auteurs de la menace ont remplacé les liens du document par des liens vers des exécutables malveillants, qui étaient également hébergés sur le site et livrés aux victimes sous forme d’archives auto-extractibles contenant le document original et la charge utile CMoon, nommée d’après le lien d’origine.
« Nous n’avons pas vu d’autres vecteurs de distribution de ce malware, nous pensons donc que l’attaque ne vise que les visiteurs du site en question », rapporte Kaspersky.
Après que l’entreprise gazière a été informée de cette compromission, les fichiers et liens malveillants ont été supprimés de son site Web le 25 juillet 2024.
Cependant, en raison des mécanismes d’auto-propagation de CMoon, sa distribution peut se poursuivre de manière autonome.
CMoon est un ver. NET qui se copie dans un dossier nouvellement créé nommé d’après le logiciel antivirus qu’il a détecté sur le périphérique compromis ou qui ressemble à un dossier système si aucun ANTIVIRUS n’est détecté.
Le ver crée un raccourci sur le répertoire de démarrage de Windows pour s’assurer qu’il s’exécute au démarrage du système, sécurisant la persistance entre les redémarrages.
Pour éviter de susciter des soupçons lors des vérifications manuelles de l’utilisateur, il modifie les dates de création et de modification de ses fichiers au 22 mai 2013.
Le ver surveille les clés USB nouvellement connectées et, lorsqu’elles sont connectées à la machine infectée, il remplace tous les fichiers à l’exception des » LNK « et des » EXE » par des raccourcis vers son exécutable.
CMoon recherche également les fichiers intéressants stockés sur les clés USB et les stocke temporairement dans des répertoires cachés (‘.intelligence « et ».usb’) avant qu’ils ne soient exfiltrés vers le serveur de l’attaquant.
CMoon dispose d’une fonctionnalité standard de voleur d’informations, ciblant les portefeuilles de crypto-monnaie, les données stockées dans les navigateurs Web, les applications de messagerie, les clients FTP et SSH et les fichiers de documents dans les dossiers USB ou utilisateur contenant les chaînes de texte « secret », « service » ou » mot de passe.’
Une fonctionnalité intéressante et quelque peu inhabituelle est le ciblage des fichiers pouvant contenir des informations d’identification de compte telles que .pfx, .p12, .BDK,.xdbx, .lastpass, .café3, .pem,.clé,.privé, .asc, .gpg, .ovpn, et .fichiers journaux.
Le logiciel malveillant peut également télécharger et exécuter des charges utiles supplémentaires, capturer des captures d’écran de l’appareil piraté et lancer des attaques DDoS sur des cibles spécifiées.
Les fichiers volés et les informations système sont empaquetés et envoyés à un serveur externe, où ils sont déchiffrés (RC4) et vérifiés pour leur intégrité à l’aide d’un hachage MD5.
Kaspersky laisse ouverte la possibilité que d’autres sites en dehors de sa visibilité actuelle distribuent Midi, la vigilance est donc conseillée.
Quelle que soit la cible de cette campagne, le fait que le ver se propage de manière autonome signifie qu’il pourrait atteindre des systèmes involontaires et créer les conditions d’attaques opportunistes.