Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Quand les assaillants ciblent l’enthousiasme retrouvé des voyageurs

août 2022 par Shunichi Imano, James Slaughter, Gergely Revay et Fred Gutierrez de FortiGuard Labs

Se relaxer au soleil sur une plage de sable chaud. Explorer une jungle à la recherche d’animaux et de plantes exotiques. Plonger dans une mer d’un bleu sombre que la lumière du soleil peine à percer. Faire la fête toute la nuit dans les discothèques d’une ville où vous n’étiez jamais allé. Se retrouver entre amis autour d’un feu de camp et au rythme d’une guitare. Se délecter d’un café chaud dans une grotte d’une montagne enneigée.

De telles expériences relevaient encore récemment du fantasme pour beaucoup de gens depuis l’irruption et la propagation rapide du Covid-19 au début de 2020. Le chemin a été long, mais les temps ont changé. Aujourd’hui, la vaccination et les confinements ont incité certains gouvernements à assouplir leurs contraintes réglementaires qui restreignaient notre façon de vivre au quotidien. Il est de nouveau possible de voyager et les touristes peuvent désormais concrétiser leurs rêves d’horizons nouveaux.

Cependant, les voyageurs doivent s’en rendre compte : les cybercriminels veulent tirer parti de ce sentiment de liberté pour perpétrer leurs exactions. Voici quelques exemples d’attaques récemment identifiées par FortiGuard Labs.

Plateforme ciblée : Windows
Groupes impactés : Utilisateurs de Windows
Impact : Prendre le contrôle des dispositifs compromis et exfiltrer des données sensibles
Niveau de gravité : Moyen

Des itinéraires malveillants pour berner des voyageurs peu méfiants
Un itinéraire est un must pour la plupart des voyageurs. Sans celui-ci, impossible de savoir quand, comment et où aller, où résider, mais aussi quand et comment rentrer chez soi. Un itinéraire peut également informer sur le temps dont disposent les voyageurs à destination afin de planifier leurs activités.

AsyncRAT

FortiGuard Labs a récemment identifié un fichier malveillant nommé “itinerary.zip”, hébergé sur dc5b-163-123-142-137[.]ngrok[.]io.
Cette archive contient un fichier nommé
“Itinerary.pdf_____________________________________________.exe”, autrement dit un exécutable tentant de se faire passer pour un pdf. Dissimuler une extension .exe à la suite d’une série de tirets (underscore) constitue une technique classique que les assaillants utilisent depuis des décennies. Cette technique, toujours d’actualité aujourd’hui, laisse penser qu’elle rencontre encore un certain succès. Nous ne savons pas exactement comment les victimes ont été orientées vers ce fichier, mais il est légitime de penser qu’un email ou un site web sur la thématique au voyage a été utilisé pour attirer les victimes vers ce fichier.

L’exécution du fichier .exe file installe AsyncRAT sur la machine cible. Ce cheval de Troie d’accès distant (ou RAT pour Remote Access Trojan), open-source et codé en .NET, a été le fer de lance de nombreuses attaques. FortiGuard Labs a d’ailleurs posté un article concernant une campagne de spear phishing associée à AsyncRAT :
Une campagne de spear phishing utilise de nouvelles techniques pour cibler les compagnies aériennes

AsyncRAT offre aux assaillants un accès distant et leur permet de piloter à distance une machine piratée via une connexion chiffrée. Ce RAT assure différentes fonctions : enregistrement des saisies au clavier, copies d’écran ou encore téléchargement ascendant et descendant de fichiers. Cette version installée d’AsyncRAT se connecte à des serveurs C&C présents sur “znets[.]ddns[.]net” et “dnets[.]ddns[.]net”. Afin de tromper les analyses antimalware, ce variant d’AsyncRAT utilise de multiples techniques d’obfuscation basées sur .NET, telles que Xenocode, Babel, Yano, DotNetPatcher, CryptoObfuscator, Dotfuscator, SmartAssembly, Goliath, NineRays et 198 Protector V2.

Des investigations plus poussées révèlent qu’itinerary.zip n’est pas le seul fichier hébergé sur dc5b-163-123-142-137[.]ngrok[.]io. Les fichiers travel_details.iso, activities_and_dates.iso, ainsi que Itinerary.exe sont également sur le même domaine et installent des variants d’AsyncRAT se connectant aux mêmes serveurs C2.

Un fichier ISO (également nommé image ISO) est une archive qui contient un contenu (hiérarchie des répertoires et des fichiers) similaire à celui d’un disque physique comme un CD, DVD ou Blu-ray. Depuis Windows 8, les fichiers ISO sont pris en charge en natif par Windows. En clair, ceci ouvre la voie à une nouvelle méthode d’attaque, d’autant que le format .iso permet de contourner la fonction de sécurité MOTW (Mark-of-the-Web). Cette dernière, en tant que mesure de protection, force les pages web sauvegardées à s’exécuter au sein de la zone de sécurité du lieu d’origine de la page sauvegardée. D’autre part, les fichiers identifiés par MOTW doivent généralement subir des tests complémentaires de sécurité, via le Smart Screen de Microsoft Defender ou des antivirus par exemple. Ce variant d’AsyncRAT se dissimule au sein d’un fichier .iso pour contourner toute analyse antimalware supplémentaire, une technique déjà connue.

Une fois l’image ISO montée (il suffit de double-cliquer dessus, tout simplement), la victime doit exécuter manuellement le .exe dans l’image ISO montée pour être infectée par AsyncRAT.
Un autre variant d’AsyncRAT , “Booking details.exe“, a été identifié début février 2022. Tous ces fichiers empruntent au champ lexical du voyage, ce qui laisse penser que les voyageurs constituent les principales cibles des assaillants.

Netwire RAT est également un malware qui utilise un vecteur d’infection qui reprend le thème du voyage. Flight_Travel_Intinery_Details.js est un fichier malveillant récemment identifié par FortiGuard Labs. Le nom du fichier et le fait qu’il était hébergé sur un CDN malveillant de Discord nous invitent à penser que ce javascript malveillant était distribué via un lien dans un email, ou via un fichier joint associé à l’univers du voyage.

Le fichier javascript (.js) livre Update.exe, un variant de Netwire RAT qui se connecte à son serveur C&C sur kingshakes1[.]linkpc[.]net. Ce serveur C&C semble être utilisé par Netwire RAT depuis mai 2021 au moins. Netwire RAT est un cheval de Troie d’accès distant (RAT) conçu pour fonctionner sur Windows, OS X et Linux. Tout comme AsyncRAT, Netwire RAT prend le contrôle d’une machine piratée et procède à des exfiltrations de données ou des activités malveillantes de reconnaissance.

L’armée colombienne, ciblé d’une attaque
Quasar RAT

Autre exemple d’une cyber-attaque sur le thème du voyage : une attaque par spear phishing contre une organisation militaire en Colombie.
L’email, dont l’objet est “Solicitud de Reserva para Mayo 2022” (en français, demande de réservation pour mai 2022) s’accompagne d’un fichier joint nommé “RESERVA.ISO”.

Sa traduction en français est la suivante :
Bonjour,
J’espère que vous allez bien.
Je suis [supprimé] du département des produits d’AMV Travel.
Je souhaite réserver 5 chambres pour une période d’une semaine.
Veuillez trouver ci-joint tous les détails de cette réservation.
Merci beaucoup.
J’attends votre réponse avant de poursuivre.

Un fichier ISO était utilisé lors de cette attaque, mais avec un RAT différent, Quasar RAT. L’utilisation de ce malware n’est guère surprenante puisqu’il a déjà été utilisé à des fins de cyber-espionnage dans nombre d’attaques ciblées relatées sur le blog de différents éditeurs de solutions de sécurité. Ainsi, un article de FortiGuard Labs d’octobre 2019, intitulé “Uncovering New Activity By APT10”, explique comment le groupuscule de cybercriminels APT10 s’est en pris à des administrations et entreprises en utilisant Quasar RAT. Ce malware étant un RAT open-source et utilisé à de nombreuses reprises, l’agence américaine CISA a publié un “Rapport d’analyse (AR18-352A)” sur Quasar RAT en février 2019.

En tant que RAT open-source et générique, Quasar RAT n’est pas, en tant que tel, un outil que les assaillants doivent absolument intégrer à leur arsenal. Ce RAT est annoncé comme étant compatible à différentes versions de Windows (Windows 10, Windows 8/8.1, Windows 7, Windows Vista, Windows Server 2019, Windows Server 2016, Windows Server 2012 et Windows Server 2008). Des versions plus anciennes de Quasar RAT sont compatibles aux précédentes versions d’OS de Windows. Le malware propose les fonctions classiques d’un RAT, parmi lesquelles :
● L’enregistrement des frappes au clavier
● Le détournement de mots de passe à partir des navigateurs web et clients FTP classiques
● Le téléchargement ascendant/descendant de fichier, ainsi que leur exécution
● La collecte d’informations système
● Un contrôle de bureau distant
● Un éditeur de la base de registre

Tout comme pour AsynRAT, le fichier ISO de Quasar RAT se monte simplement avec un double-clic. La victime doit ensuite exécuter manuellement le fichier “RESERVA.exe” pour initier l’infection.

Schéma 3. fichier malveillant RESERVA.exe dans le fichier ISO monté
Quasar RAT, lorsqu’installé, se connecte au serveur C&C hébergé sur opensea-user-reward[.]serveusers[.]com (domaine DDNS). Les indicateurs recueillis par Fortinet et les informations de veille open source (OSINT) ne révèlent aucune connexion au DDNS sur les trois derniers mois, ce qui peut laisser penser que l’attaque a échoué.

À noter que FortiGuard Labs a également identifié un autre échantillon de Quasar RAT, avec les mêmes ressources et la même adresse C&C. Cet échantillon a été soumis à partir de Hong Kong le jour suivant la divulgation publique du malware envoyé aux militaires colombiens. Il n’existe aucune preuve tangible que ces échantillons proviennent tous d’un seul assaillant. Cependant, compte tenu des similitudes entre les échantillons, il est possible que le même assaillant ait ciblé une organisation basée à Hong Kong.

Conclusion

Les attaques décrites dans cet article ne sont pas compliquées : il suffit simplement d’amener la victime à exécuter un fichier vérolé pour démarrer l’infection. Ce qui est singulier, c’est que depuis deux ans, la plupart des possibilités de voyage et de vacances ont été supprimées en raison de la COVID. Et maintenant que la liberté de voyager est de retour, les assaillants tentent de tirer parti de l’enthousiasme des gens de pouvoir sortir et voyager de nouveau.
Alors restez vigilant et au fait des bonnes pratiques de cybersécurité… Et bon voyage !


Voir les articles précédents

    

Voir les articles suivants