Un acteur de la menace a utilisé un cache de réseau de diffusion de contenu pour stocker des logiciels malveillants voleurs d’informations dans une campagne en cours ciblant les systèmes américains, britanniques, allemands et japonais.
Les chercheurs pensent que derrière la campagne se cache CoralRaider, un acteur menaçant motivé financièrement qui se concentre sur le vol d’informations d’identification, de données financières et de comptes de médias sociaux.
Les pirates fournissent des voleurs d’informations LummaC2, Rhadamanthys et Cryptobot qui sont disponibles sur des forums souterrains à partir de plates-formes de logiciels malveillants en tant que service moyennant des frais d’abonnement.
Cisco Talos évalue avec une confiance modérée que la campagne est une opération de CoralRaider, sur la base de similitudes dans les tactiques, techniques et procédures (TTP) avec les attaques passées attribuées à l’auteur de la menace.
Les indices pointant vers CoralRaider incluent les vecteurs d’attaque initiaux, l’utilisation de scripts PowerShell intermédiaires pour le déchiffrement et la livraison de la charge utile, et des méthodes spécifiques pour contourner les contrôles d’accès utilisateur (UAC) sur les machines victimes.
Chaîne d’infection CoralRaider
Cisco Talos signale que les dernières attaques CoralRaider commencent par l’ouverture par la victime d’une archive contenant un fichier de raccourci Windows malveillant (.LNK).
La manière dont l’archive est livrée n’est pas claire, mais il peut s’agir d’une pièce jointe à un e-mail malveillant, d’un téléchargement à partir d’un emplacement non approuvé ou d’une promotion via une publicité malveillante.
Le LNK contient des commandes PowerShell qui téléchargent et exécutent un fichier d’application HTML (HTA) fortement obscurci à partir d’un sous-domaine contrôlé par un attaquant sur la plate-forme Bynny content delivery network (CDN).
En utilisant le cache CDN comme serveur de diffusion de logiciels malveillants, l’auteur de la menace évite les retards de demande et trompe également les défenses du réseau.
Le fichier HTA contient du code JavaScript qui décode et exécute un script de décryptage PowerShell, qui décompresse un deuxième script qui écrit un script batch dans un dossier temporaire. L’objectif est de ne pas être détecté en modifiant les exclusions de Windows Defender.
Un binaire natif de Windows, le FoDHelper.exe LoLBin, est utilisé pour modifier les clés de registre et contourner la fonction de sécurité de contrôle d’accès utilisateur (UAC).
Après cette étape, le script PowerShell télécharge et exécute l’un des trois voleurs d’informations (Cryptbot, LummaC2 ou Rhadamanthys) qui ont été ajoutés dans un emplacement exclu de l’analyse de Defender.
Info-voler des charges utiles
Cisco Talos indique que CoralRaider utilise des versions assez récentes de LummaC2 et Rhadamanthys, qui à la fin de 2023 ont ajouté des fonctionnalités puissantes telles que la capture des connexions RDP et la réactivation des cookies de compte Google expirés [1, 2].
Bien que Cryptobot soit moins populaire, il s’agit d’une menace notable qui a infecté 670 000 ordinateurs en un an.
Cisco Talos dit que la variante vue dans les récentes attaques de CoralRaider a été publiée en janvier et dispose de meilleurs mécanismes d’obscurcissement et d’anti-analyse, et d’une liste élargie d’applications ciblées.
Cisco Talos note également que Cryptobot cible également les bases de données pour les gestionnaires de mots de passe ainsi que les données des applications d’authentification pour voler des portefeuilles de crypto-monnaie protégés par une authentification à deux facteurs.
Coral Raider est actif depuis au moins 2023 et les chercheurs pensent qu’il est basé au Vietnam. Lors d’une campagne précédente, l’auteur de la menace s’appuyait sur un robot Telegram pour le commandement et le contrôle (C2) et pour exfiltrer les données des victimes.
Ses victimes se trouvent généralement dans les pays d’Asie et d’Asie du Sud-Est. Cependant, la dernière opération a étendu le ciblage aux États-Unis, au Nigéria, au Pakistan, à l’Équateur, à l’Allemagne, à l’Égypte, au Royaume-Uni, à la Pologne, aux Philippines, à la Norvège, au Japon, à la Syrie et à la Turquie.