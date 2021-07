ESET Research découvre Bandidos, une nouvelle campagne d’espionnage au Venezuela

juillet 2021 par ESET

ESET Research a récemment découvert une nouvelle campagne utilisant des versions plus avancées de l’ancien malware Bandook pour espionner ses victimes. La campagne encore active à ce jour vise des réseaux d’entreprise dans les pays hispanophones, avec 90 % des détections de la télémétrie d’ESET au Venezuela. Les chercheurs d’ESET ont découvert de nouvelles fonctionnalités et des changements dans Bandook. En raison du malware utilisé et de la langue ciblée, ESET a choisi de nommer cette campagne Bandidos.

ESET a constaté plus de 200 détections de téléchargeurs malveillants au Venezuela en 2021, mais aucun secteur spécifique ciblé par cette campagne malveillante n’a pu être identifié. D’après les données de télémétrie, les pirates s’intéressent principalement à des réseaux d’entreprises du Venezuela : certains dans des entreprises manufacturières, et d’autres dans le secteur de la construction, de la santé, des services logiciels et même de la vente au détail. Compte tenu des fonctionnalités du malware et du type d’informations exfiltrées, il semble que l’objectif principal de Bandidos soit l’espionnage.

Les victimes potentielles reçoivent des emails malveillants avec une pièce jointe au format PDF, qui contient un lien pour télécharger une archive compressée et le mot de passe pour l’extraire. Un fichier exécutable à l’intérieur de l’archive injecte Bandook dans un processus Internet Explorer. Les pirates utilisent des raccourcisseurs d’URL, tels que Rebrandly ou Bitly, dans leurs pièces jointes PDF pour rediriger vers des services de stockage dans le Cloud tels que Google Cloud Storage, SpiderOak ou pCloud, à partir desquels le malware est téléchargé. L’objectif principal du téléchargeur est de décoder, déchiffrer et exécuter le malware, et de veiller à ce qu’il persiste dans un système compromis.

« La fonctionnalité ChromeInject est particulièrement intéressante, » déclare Fernando Tavella, le chercheur d’ESET qui a enquêté sur la campagne Bandidos. « Lorsque la communication avec le serveur de commande et de contrôle du pirate est établie, le malware télécharge un fichier DLL qui possède une méthode exportée de création d’une extension Chrome malveillante. L’extension malveillante tente de récupérer les identifiants que la victime envoie via une URL. Ils sont stockés localement dans Chrome. »

Bandook est un ancien cheval de Troie d’accès à distance. Certaines informations indiquent qu’il était disponible en ligne dès 2005, mais son utilisation par des groupes de pirates n’a été documentée qu’à partir de 2016, année à laquelle il aurait été utilisé pour cibler des journalistes et des dissidents en Europe. Puis, en 2018, il a été utilisé pour attaquer de nouvelles cibles, notamment des établissements d’enseignement, des avocats et des professionnels de la santé. Enfin, en 2020, il a été observé dans des attaques contre de multiples secteurs : gouvernement, finance, informatique et énergie.

« Des études précédentes ont mentionné que les développeurs de Bandook pourraient être disponibles contre rémunération, ce qui est logique étant donné les différentes campagnes et les différentes cibles au fil des ans. Il faut cependant noter qu’en 2021, nous n’avons noté qu’une seule campagne active, visant les pays hispanophones que nous précisons ici. Cela montre qu’il s’agit toujours d’un outil pertinent pour les cybercriminels, » estime Matías Porolli, le chercheur d’ESET qui a travaillé sur l’analyse avec M. Tavella.

Aperçu d’une attaque typique de la campagne Bandidos