En décembre 2018, les spécialistes du Groupe-IB ont découvert une nouvelle famille de renifleurs, appelée Fausse sécuritéElles étaient utilisées par un groupe criminel qui infectait des sites web utilisant un système de gestion de contenu (CMS). MagentoL'analyse a révélé que lors d'une campagne récente, des attaquants ont utilisé un logiciel malveillant pour voler des mots de passe. Les victimes étaient des propriétaires de boutiques en ligne infectées par un renifleur JavaScript. Le CERT de Group-IB a alerté les sites concernés, et un analyste du renseignement sur les menaces de Group-IB a procédé à l'analyse. Victor Okorokov J’ai décidé de parler de la façon dont j’ai réussi à identifier une activité criminelle.
Rappelons qu'en mars 2019, le Groupe-IB a publié « Crime Without Punishment: An Analysis of JS-Sniffer Families », qui a analysé 15 familles différentes de JS-sniffer utilisées pour infecter plus de deux mille sites d'achat en ligne.
Adresse unique
Lors de l'infection, les attaquants ont intégré un lien vers un script malveillant dans le code du site web. Ce script, chargé, interceptait les informations de paiement du visiteur de la boutique en ligne lors du paiement, puis les transmettait au serveur des attaquants. Au début des attaques FakeSecurity, les scripts malveillants et la passerelle de renifleur se trouvaient sur le même domaine : magento-security[.]org.
Plus tard, certains MagentoDes sites ont été trouvés infectés par la même famille de logiciels malveillants, mais cette fois-ci, les attaquants ont utilisé de nouveaux noms de domaine pour héberger le code malveillant :
- fiswedbesign[.]com
- alliagepparel[.]com
Ces deux noms de domaine ont été enregistrés sur la même adresse e-mail. greenstreethunter@india[.]comLa même adresse a été spécifiée lors de l’enregistrement du troisième nom de domaine. firstofbanks[.]com.
Demande convaincante
L'analyse de trois nouveaux domaines utilisés par le groupe criminel FakeSecurity a révélé que certains d'entre eux étaient impliqués dans une campagne de diffusion de logiciels malveillants lancée en mars 2019. Les attaquants diffusaient des liens vers des pages exigeant l'installation d'un plugin manquant pour afficher correctement les documents. Si les utilisateurs téléchargeaient l'application, leurs ordinateurs étaient infectés par un logiciel malveillant voleur de mots de passe.
Au total, 11 liens uniques ont été identifiés menant à de fausses pages encourageant les utilisateurs à installer des logiciels malveillants.
- hxxps://www.etodoors.com/uploads/Statement00534521[.]html
- hxxps://www.healthcare4all.co.uk/manuals/Statement00534521[.]html
- hxxps://www.healthcare4all.co.uk/lib/Statement001845[.]html
- hxxps://www.healthcare4all.co.uk/doc/BankStatement001489232[.]html
- hxxp://verticalinsider.com/bookmarks/Bank_Statement0052890[.]html
- hxxp://thepinetree.net/n/docs/Statement00159701[.]html
- hxxps://www.readicut.co.uk/media/pdf/Bank_Statement00334891[.]html
- hxxp://www.e-cig.com/doc/pdf/eStmt[.]html
- hxxps://www.genstattu.com/doc/PoliceStatement001854[.]html
- hxxps://www.tokyoflash.com/pdf/statment001854[.]html
- hxxps://www.readicut.co.uk/media/pdf/statment00789[.]html
Une victime potentielle d'une campagne malveillante a reçu un spam contenant un lien vers une page de premier niveau. Cette page est un petit document HTML avec une iframe, dont le contenu est chargé depuis une page de second niveau. Cette page de second niveau est une page de destination dont le contenu incite le destinataire à installer un fichier exécutable. Dans le cas de cette campagne malveillante, les attaquants ont utilisé une page de destination dont le thème était l'installation d'un plugin Adobe Reader manquant. La page de premier niveau imitait donc un lien vers un fichier PDF ouvert en mode d'affichage en ligne dans un navigateur. La page de second niveau contient un lien vers un fichier malveillant diffusé dans le cadre de la campagne malveillante, qui sera téléchargé en cliquant sur le bouton. Télécharger le plugin.
Une analyse des pages utilisées dans cette campagne a montré que les pages de deuxième niveau étaient généralement situées sur les domaines des attaquants, tandis que la page de premier niveau et le fichier malveillant lui-même étaient le plus souvent situés sur des sites de commerce électronique piratés.
Un exemple de structure de page pour la distribution de logiciels malveillants
Par le biais du spam, une victime potentielle reçoit un lien vers un fichier HTML, par exemple, hxxps://www.healthcare4all[.]co[.]uk/manuals/Statement00534521[.]htmlLe fichier HTML lié contient un élément iframe avec un lien vers le contenu principal de la page ; dans cet exemple, le contenu de la page est situé à hxxps://alloaypparel[.]com/view/public/Statement00534521/PDF/Statement001854[.]pdfComme le montre cet exemple, les attaquants ont utilisé un domaine enregistré, et non un site piraté, pour héberger le contenu de la page. L'interface affichée par ce lien comprend un bouton. Télécharger le pluginSi la victime clique sur ce bouton, un fichier exécutable sera téléchargé à partir du lien spécifié dans le code de la page ; dans cet exemple, le fichier exécutable est téléchargé à partir du lien hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe, c'est-à-dire que le fichier malveillant lui-même est stocké sur le site piraté.
Le Méphistophélès de notre temps
Analyse de domaine alliagepparel[.]com On a découvert que le kit d'hameçonnage Mephistophilus était utilisé pour diffuser des logiciels malveillants. Il permet la création et le déploiement de pages d'hameçonnage pour la diffusion de logiciels malveillants. Mephistophilus utilise plusieurs types de pages de destination qui incitent les utilisateurs à installer un plugin supposé manquant et nécessaire au fonctionnement de l'application. En réalité, l'utilisateur installera le logiciel malveillant, un lien que l'opérateur ajoute via le panneau d'administration de Mephistophilus.
Le système d'hameçonnage Mephistophilus est apparu en vente sur des forums clandestins en août 2016. Il s'agit d'un kit d'hameçonnage standard utilisant de faux sites web proposant des téléchargements de logiciels malveillants déguisés en mises à jour de plugins (MS Word, MS Excel, PDF, YouTube) pour visualiser le contenu d'un document ou d'une page. Mephistophilus a été développé et publié par un utilisateur de forum clandestin surnommé « Kokai ». Pour infecter une victime avec ce kit d'hameçonnage, l'attaquant doit l'inciter à cliquer sur un lien menant à une page générée par Mephistophilus. Quel que soit le sujet de la page d'hameçonnage, un message s'affiche, invitant la victime à installer un plugin manquant pour afficher correctement le document en ligne ou la vidéo YouTube. Pour ce faire, Mephistophilus utilise plusieurs types de pages d'hameçonnage imitant des services légitimes :
- Visionneuse en ligne pour les documents Microsoft Office 365 Word ou Excel
- Visionneuse PDF en ligne
- Page de clonage du service YouTube
Victimes
Dans le cadre de la campagne malveillante, le groupe criminel ne s'est pas limité à utiliser des noms de domaine enregistrés indépendamment : pour stocker des échantillons des fichiers malveillants qu'ils distribuaient, les attaquants ont également utilisé plusieurs sites d'achat en ligne qui avaient été précédemment infectés par le sniffer FakeSecurity.
Au total, 5 liens uniques vers 5 échantillons de logiciels malveillants uniques ont été détectés, dont 4 étaient stockés sur des sites Web piratés utilisant un CMS. Magento:
- hxxps://www.healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
- hxxps://www.genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- hxxps://firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
- hxxp://e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- hxxp://thepinetree[.]net/docs/msw070619.exe
Les échantillons de logiciels malveillants diffusés lors de cette campagne proviennent du logiciel de vol de mots de passe Vidar, conçu pour voler les mots de passe des navigateurs et de certaines applications. Il peut également collecter des fichiers selon des paramètres spécifiques et les transférer vers l'interface d'administration, facilitant par exemple le vol de fichiers de portefeuilles de cryptomonnaies. Vidar propose un logiciel malveillant en tant que service : toutes les données collectées sont transmises à une passerelle, puis envoyées vers une interface d'administration centralisée, où toute personne achetant le logiciel de vol peut consulter les journaux des ordinateurs infectés.
Un voleur capable
Le logiciel de vol Vidar est apparu en novembre 2018. Il a été développé et publié sur des forums clandestins par un utilisateur surnommé Loadbaks. D'après la description du développeur, Vidar peut voler des mots de passe de navigateurs, des fichiers situés dans des chemins et des masques spécifiques, des informations de carte bancaire, des fichiers de portefeuilles froids, des messages Telegram et Skype, ainsi que l'historique de navigation des sites web. Le prix de location du logiciel varie de 250 à 300 dollars par mois. L'interface d'administration et les domaines utilisés comme passerelles sont hébergés sur les serveurs des développeurs de Vidar, ce qui réduit les coûts d'infrastructure pour les acheteurs.
En cas de fichier malveillant msw070619.exe, en plus de la distribution via la page de destination de Mephistophilus, un fichier DOC malveillant a également été découvert Relevé bancaire0040918404.doc (MD5: 1b8a824074b414419ac10f5ded847ef1), qui a déposé ce fichier exécutable sur le disque à l'aide de macros. Fichier DOC Relevé bancaire0040918404.doc a été joint en pièce jointe à des courriers électroniques malveillants envoyés dans le cadre d'une campagne malveillante.
Décryptage de l'attaque
La lettre découverte (MD5: 53554192ca888cccbb5747e71825facd) a été envoyé à l'adresse de contact du site hébergeant le CMS MagentoOn peut donc conclure que l'une des cibles de cette campagne malveillante était les administrateurs de boutiques en ligne, et que l'objectif de l'infection était d'accéder à leur interface d'administration. Magento et d'autres plateformes de commerce électronique pour l'installation ultérieure d'un renifleur et le vol des données clients des magasins infectés.
Ainsi, le schéma d’infection dans son ensemble comprenait les étapes suivantes :
- Les attaquants ont déployé le panneau d'administration du kit de phishing Mephistophilus sur l'hôte alliagepparel[.]com.
- Les attaquants ont placé des logiciels malveillants sur des sites Web légitimes piratés et sur leurs propres sites Web pour voler des mots de passe.
- À l'aide d'un kit de phishing, les attaquants ont déployé plusieurs pages de destination pour diffuser des logiciels malveillants et ont également créé des documents malveillants avec des macros qui téléchargeaient des logiciels malveillants sur l'ordinateur de l'utilisateur.
- Les attaquants ont mené une campagne de spam, envoyant des courriels contenant des pièces jointes malveillantes et des liens vers des pages de destination permettant l'installation de logiciels malveillants. Au moins certaines des cibles des attaquants étaient des administrateurs de sites de boutiques en ligne.
- Si l'ordinateur de l'administrateur de la boutique en ligne a été compromis avec succès, les informations d'identification volées ont été utilisées pour accéder au panneau d'administration de la boutique et installer un sniffer JavaScript pour voler les cartes bancaires des utilisateurs effectuant des paiements sur le site infecté.
Connexion à d'autres attaques
L'infrastructure des attaquants a été déployée sur un serveur avec l'adresse IP 200.63.40.2, qui appartient à un service de location de serveurs. Panamaservers[.]comAvant la campagne FakeSecurity, ce serveur était utilisé pour le phishing et l'hébergement de panneaux d'administration pour divers logiciels malveillants de vol de mots de passe.
Sur la base des spécificités de la campagne FakeSecurity, on peut supposer que les panneaux d'administration des voleurs Lokibot et AZORUlt, hébergés sur ce serveur, auraient pu être utilisés lors d'attaques précédentes du même groupe en janvier 2019. Selon Le 14 janvier 2019, des attaquants inconnus ont diffusé le logiciel malveillant Lokibot par envoi massif d'e-mails contenant un fichier DOC malveillant en pièce jointe. Le 18 janvier 2019, une autre attaque a eu lieu. Diffusion de documents malveillants ayant installé le logiciel malveillant AZORUlt. L'analyse de cette campagne a révélé les panneaux d'administration suivants, situés sur un serveur dont l'adresse IP est 200.63.40.2 :
- http[:]//chuxagama[.]com/web-obtain/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
- http[:]//umbra-diego[.]com/wp/Panel/five/PvqDq929BSx_A_D_M1n_a.php (Lokibot)
- http[:]//chuxagama[.]com/web-obtain/Panel/five/index.php (AZORUlt)
Les noms de domaine chuxagama[.]com et umbra-diego[.]com ont été enregistrés par le même utilisateur avec l'adresse e-mail dicksonfletcher@gmail.com. Cette même adresse e-mail a été utilisée pour enregistrer le nom de domaine worldcourrierservices[.]com en mai 2016, qui a ensuite servi de site web à l'entreprise frauduleuse World Courier Service.
Étant donné que la campagne de malware FakeSecurity impliquait des attaquants utilisant des logiciels malveillants de vol de mots de passe et les distribuant via des courriers indésirables, et utilisant également un serveur avec l'adresse IP 200.63.40.2, on peut supposer que la campagne de malware de janvier 2019 a été menée par le même groupe criminel.
Indicateurs
Nom du fichier Adobe-Reader-PDF-Plugin-2.37.2.exe
- MD5 3ec1ac0be981ce6d3f83f4a776e37622
- SHA-1 346d580ecb4ace858d71213808f4c75341a945c1
- SHA-256 6ec8b7ce6c9858755964f94acdf618773275589024e2b66583e3634127b7e32c
- Taille 615984
Nom du fichier Adobe-Reader-PDF-Plugin-2.31.4.exe
- MD5 58476e1923de46cd4b8bee4cdeed0911
- SHA-1 aafa9885b8b686092b003ebbd9aaf8e604eea3a6
- SHA-256 15abc3f55703b89ff381880a10138591c6214dee7cc978b7040dd8b1e6f96297
- Taille 578048
Nom du fichier Adobe-Reader-PDF-Plugin-2.35.8.exe
- MD5 286096c7e3452aad4acdc9baf897fd0c
- SHA-1 26d71553098b5c92b55e49db85c719f5bb366513
- SHA-256 af04334369878408898a223e63ec50e1434c512bc21d919769c97964492fee19
- Taille 1069056
Nom du fichier Adobe-Reader-PDF-Plugin-2.31.4.exe
- MD5 fd0e11372a4931b262f0dd21cdc69c01
- SHA-1 54d34b6a6c4dc78e62ad03713041891b6e7eb90f
- SHA-256 4587da5dca2374fd824a15e434dae6630b24d6be6916418cee48589aa6145ef6
- Taille 856576
Nom du fichier msw070619.exe
- MD5 772db176ff61e9addbffbb7e08d8b613
- SHA-1 6ee62834ab3aa4294eebe4a9aebb77922429cb45
- SHA-256 0660059f3e2fb2ab0349242b4dde6bf9e37305dacc2da870935f4bede78aed34
- Taille 934448
- fiswedbesign[.]com
- alliagepparel[.]com
- firstofbanks[.]com
- magento-security[.]org
- mage-security[.]org
- https[:]//www[.]healthcare4all[.]co[.]uk/manuals/Adobe-Reader-PDF-Plugin-2.37.2.exe
- https[:]//www[.]genstattu[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- https[:]//firstofbanks[.]com/file_d/Adobe-Reader-PDF-Plugin-2.35.8.exe
- http[:]//e-cig[.]com/doc/Adobe-Reader-PDF-Plugin-2.31.4.exe
- http[:]//thepinetree[.]net/docs/msw070619.exe
Source: habr.com
