Actualités

Minebridge : renforcement du cheval de Troie qui surfe sur la tendance des attaques par ingénierie sociale ! (RAT 2.0…)

Les outils d’administration à distance ou RAT de leur nom abrégé sont, dans le principe général, de précieux logiciels permettant de maintenir à jour un élément distant ou encore de procéder à une veille technologique avec certains indicateurs sécuritaire. Autant de fonctions à portée de clics qui, avec l’effet-COVID19, amène en proportionnalité, des attaques à coups de clics…

 

 

C’est en tout cas ce que révèle l’équipe ZScaler concernant Minebridge, un cheval de Troie initialement dévoilé en Janvier 2021 : à l’époque, celui-ci s’instillait dans les CVs de traitement de texte (type Word, par exemple) en leurrant l’utilisateur sur son apparence. Derrière les traits d’un banal Curriculum Vitae résidait, en réalité, des macros-commandes. Ciblant spécifiquement TeamViewer, il permettait un cyber-espionnage en toute aisance pour déployer, au besoin, toute une panoplie d’outils malveillants. Fait nouveau et observé par les chercheurs sécuritaires, le trojan disposerait d’un outil supplémentaire : Minebridge se serait ainsi mis au goût du jour en incorporant une possible attaque par ingénierie sociale.

 

Même si les preuves, pour l’heure, sont peu fournies, cette cyber-variation (outre l’ingénierie sociale) serait l’œuvre de TA505. Windows Finger est exploité pour amorcer l’ensemble (depuis l’adresse IP 184.164.146.102) qui sera installé sous %appdata% et ce, malgré un décodage de données qui passe inaperçu, sous certutil.exe. Une fois le vers dans l’arène une “archive auto-extractible” SFX prendra les traits du vrai TeamViewer tout en remplaçant les données binaires ainsi que “quelques DLLs et certains fichiers du document”. Petit à petit, le jeu (d’instructions) malveillant se dévoile : sous les traits d’un pseudo Windows Defender (binaire), defrender.exe  s’exécute. En version 11.2.2150.0, cela n’a pourtant, à priori, rien de malveillant : c’est en chargeant un DLL (msi.dll) que le logiciel TeamViewer devient une application virale ! S’ensuit un code sous Shell (décompressé et exécuté) qui engendrera, tel une hydre, un autre DLL : “le shellcode décompresse en outre un autre DLL avec le hachage MD5: 59876020bb9b99e9de93f1dd2b14c7e7 à partir d’un décalage codé en dur, la mappe dans la mémoire et transfère enfin l’exécution du code vers son point d’entrée. Le DLL décompressé est un binaire UPX de MINEBRIDGE RAT”, indique le billet sécuritaire détaillant le PoC.

 

Un exemple du type de persistance de Minebridge : derrière wlrmdr.exe (censé amorcer l’ouverture de session-Windows) réside Logon.Ink,
un fichier LNK conçu pour s’initialiser au démarrage-système.

 

Après s’être assuré que les processus ou tâche malveillante sont masquées, cachées à l’utilisateur via une API – nommée “hooking” – dédié, tout un tas de possibilités s’offre à Minebridge : command-and-control (avec persistance), vérification du système infecté (activité, notamment), kill (fin de tâche, processus) de ShowNotificationDialog pour endormir l’utilisateur ou l’empêcher de voir la duperie. “La DLL MINEBRIDGE RAT peut également être exécutée via regsvr32.exe. Le code malveillant est présent dans l’exportation DllRegisterServer. Lorsqu’elle est exécutée via regsvr32.exe ou rundll32.exe, la routine DllMain n’effectue aucune action, mais regsvr32.exe appelle également implicitement l’exportation DllRegisterServer et, par conséquent, le code malveillant à l’intérieur de l’exportation DllRegisterServer est exécuté“, est-il ajouté.

Cette variante de Minebridge (win32.backdoor.minebridge + vba.downloader.minebridge) ainsi que ses indicateurs de compromission sont désormais connus au bataillon… A veiller !

 

 

Source : Blog ZScaler – 23 Février 2021 – Minebridge : nouveaux modus operandi insécuritaires pour le trojan.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0