Un nouveau malware caché dans une photo du télescope spatial James Webb !

Des chercheurs en sécurité ont fait la découverte d'une nouvelle campagne qui distribue un logiciel malveillant en s'appuyant sur des e-mails de type phishing, des documents malveillants et une image de l'Espace du télescope James Webb. Cette campagne est surnommée "GO#WEBBFUSCATOR".

Pour rappel, James Webb est un télescope spatial mis en orbite par la NASA et qui nous régale depuis plusieurs semaines avec des images incroyables de la galaxie, des planètes, etc... Forcément, ces magnifiques photos sont vues des millions de fois dans le monde entier, ce qui a visiblement donné des idées aux cybercriminels.

Découvert par les chercheurs en sécurité de Securonix, ce nouveau malware est codé en Golang, très apprécié par les pirates informatiques, car il permet de faciliter la portabilité d'une application d'un système à un autre, que ce soit Windows, Linux ou macOS. D'après eux, les moteurs d'analyse antivirus ne détectent pas ce malware à l'heure actuelle.

Comment se déroule l'attaque ? Tout d'abord, cela commence par un e-mail de phishing qui contient une pièce jointe nommée "Geos-Rates.docx". Ce fichier contient une macro VBS obfusquée qui s'exécutera automatiquement si les macros sont activées dans la suite Office (ce qui n'est pas forcément le cas, selon votre version). Le code de la macro permet de télécharger une image JPG nommée "OxB36F8GEEC634.jpg" à partir d'une ressource distante ("xmlschemeformat[.]com"). Ensuite, cette image est décodée avec certutil.exe et elle donne lieu à l'exécutable "msdllupdate.exe" qui est exécuté dans la foulée.

Logiciel malveillant - Photo James Webb

Si l'on ouvre cette image avec la visionneuse de Windows, on voit qu'il s'agit simplement de la célèbre photo de la galaxie SMACS 0723, prise en juillet dernier par le télescope James Webb. Cependant, si l'on ouvre cette image avec un éditeur de texte, les choses sont différentes : l'image intègre un certificat, ainsi que le code de l'exécutable malveillant. Cette souche malveillante cherche à devenir persistante sur la machine en se copiant elle-même dans "%%localappdata%%\microsoft\vault\" et en créant des clés de Registre.

Le malware communique avec les serveurs C2 pilotés par les pirates au travers de requêtes DNS de type TXT encodées en BASE-64. Bien sûr, ces requêtes servent à remonter des informations et les pirates peuvent exécuter des commandes à distance, d'après les chercheurs de Securonix.

Le rapport complet est disponible à cette adresse : Securonix - Rapport

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.