Des chercheurs en cybersécurité ont révélé les détails d'une campagne de logiciels malveillants ciblant les développeurs de logiciels avec un nouveau voleur d'informations appelé Evelyn Stealer en militarisant l'écosystème d'extensions Microsoft Visual Studio Code (VS Code).
“Le malware est conçu pour divulguer des informations sensibles, notamment les informations d'identification des développeurs et les données liées aux cryptomonnaies. Les environnements de développement compromis peuvent également être utilisés à mauvais escient comme points d'accès à des systèmes organisationnels plus larges”, a déclaré Trend Micro dans une analyse publiée lundi.
L'activité est conçue pour mettre en valeur les organisations dont les équipes de développement de logiciels s'appuient sur VS Code et des extensions tierces, ainsi que celles ayant accès aux systèmes de production, aux ressources cloud ou aux actifs numériques, a-t-il ajouté.
Il convient de noter que les détails de la campagne ont été documentés pour la première fois par Koi Security le mois dernier, lorsque des détails ont été révélés sur trois extensions VS Code – BigBlack.bitcoin-black, BigBlack.codo-ai et BigBlack.mrbigblacktheme – qui ont finalement supprimé un téléchargeur de DLL malveillant (« Lightshot.dll ») responsable du lancement d'une commande PowerShell cachée pour rechercher et exécuter une charge utile de deuxième étape (« runtime.exe »).
L'exécutable, quant à lui, décrypte et injecte la charge utile principale du voleur dans un processus Windows légitime (« grpconv.exe ») directement en mémoire, lui permettant de collecter des données sensibles et de les exfiltrer vers un serveur distant (« server09.mentality »).[.]cloud”) via FTP sous la forme d'un fichier ZIP. Certaines des informations collectées par le malware comprennent :
- Contenu du presse-papiers
- Applications installées
- Portefeuilles de crypto-monnaie
- Processus en cours d'exécution
- Captures d'écran du bureau
- Identifiants Wi-Fi stockés
- Informations système
- Identifiants et cookies stockés de Google Chrome et Microsoft Edge
De plus, il met en œuvre des mesures de sécurité pour détecter les analyses et les environnements virtuels et prend des mesures pour mettre fin aux processus actifs du navigateur afin de garantir un processus de collecte de données fluide et d'éviter toute interférence potentielle lors de la tentative d'extraction de cookies et d'informations d'identification.
Ceci est réalisé en lançant le navigateur via la ligne de commande en définissant les indicateurs suivants pour la détection et le suivi médico-légaux :
- –headless=new, pour fonctionner en mode sans tête
- –disable-gpu, pour empêcher l'accélération du GPU
- –no-sandbox, pour désactiver le sandbox de sécurité du navigateur
- –disable-extensions, pour empêcher les extensions de sécurité légitimes d'interférer
- –disable-logging, pour désactiver la journalisation du navigateur
- –silent-launch, pour supprimer les notifications de démarrage
- –no-first-run, pour ignorer les boîtes de dialogue de configuration initiales
- –disable-popup-blocking, pour garantir que le contenu malveillant peut être exécuté
- –window-position=-10000,-10000, pour positionner la fenêtre hors de l'écran
- –window-size=1.1, pour minimiser la fenêtre à 1×1 pixel
“Il [DLL] Le téléchargeur crée un objet d'exclusion mutuelle (mutex) pour garantir qu'une seule instance du malware peut être exécutée à un moment donné, garantissant ainsi que plusieurs instances du malware ne peuvent pas être exécutées sur un hôte compromis”, a déclaré Trend Micro. “La campagne Evelyn Stealer reflète la mise en œuvre d'attaques contre les communautés de développeurs, qui sont considérées comme des cibles de grande valeur étant donné leur rôle important dans l'écosystème de développement logiciel.”
Cette divulgation coïncide avec l'émergence de deux nouvelles familles de logiciels malveillants basés sur Python, appelées MonetaStealer et SolyxImmortal, la première étant également capable de cibler les systèmes Apple macOS pour permettre un vol de données complet.
“[SolyxImmortal] “exploite des API système légitimes et des bibliothèques tierces largement disponibles pour extraire les données utilisateur sensibles et les exfiltrer vers des webhooks Discord contrôlés par les attaquants”, a déclaré CYFIRMA.
« Sa conception met l'accent sur la furtivité, la fiabilité et l'accès à long terme plutôt que sur une exécution rapide ou un comportement destructeur. En opérant entièrement dans l'espace utilisateur et en s'appuyant sur des plates-formes fiables pour le commandement et le contrôle, les logiciels malveillants réduisent leur probabilité de détection immédiate tout en conservant une visibilité persistante sur l'activité des utilisateurs.
