Des chercheurs en cybersécurité ont découvert une campagne en cours ciblant les utilisateurs indiens avec une porte dérobée en plusieurs étapes dans le cadre d'une prétendue campagne de cyberespionnage.
Selon l'unité de réponse aux menaces (TRU) d'eSentire, cette activité implique l'utilisation d'e-mails de phishing usurpant l'identité du département indien des impôts sur le revenu pour inciter les victimes à télécharger un fichier malveillant et, en fin de compte, accorder aux acteurs malveillants un accès persistant à leurs machines à des fins de surveillance continue et d'exfiltration de données.
Le but ultime de cette attaque sophistiquée est de déployer une variante d'un cheval de Troie bancaire bien connu appelé Blackmoon (également connu sous le nom de KRBanker) et un outil commercial légitime appelé SyncFuture TSM (Terminal Security Management) développé par Nanjing Zhongke Huasai Technology Co., Ltd, une société chinoise. La campagne n’a été attribuée à aucun acteur ou groupe menaçant connu.
“Bien qu'il soit commercialisé comme un outil commercial légitime, dans cette campagne, il est reconverti en un puissant cadre d'espionnage tout-en-un”, a déclaré eSentire. « En déployant ce système comme charge utile finale, les acteurs de la menace établissent une persistance résiliente et bénéficient d'un riche ensemble de fonctionnalités pour surveiller l'activité des victimes et gérer de manière centralisée le vol d'informations sensibles. »
Le fichier ZIP distribué via les faux avis de pénalité fiscale contient cinq fichiers différents, tous cachés à l'exception d'un exécutable (“Inspection Document Review.exe”) qui sert à télécharger une DLL malveillante présente dans le fichier. La DLL, à son tour, implémente des vérifications pour détecter les retards induits par le débogueur et contacte un serveur externe pour récupérer la charge utile pour l'étape suivante.
Le shellcode téléchargé utilise ensuite une technique basée sur COM pour contourner l'invite de contrôle de compte d'utilisateur (UAC) afin d'obtenir des privilèges administratifs. Il modifie également son propre bloc d'environnement de processus (PEB) pour usurper l'identité du processus Windows « explorer.exe » légitime afin de ne pas être détecté.
En plus de cela, récupérez l'étape suivante “180.exe” à partir du fichier “eaxwwyr[.]cn”, un programme d'installation d'Inno Setup 32 bits qui ajuste son comportement selon que le processus Avast Free Antivirus (“AvastUI.exe”) est en cours d'exécution sur l'hôte compromis.
Si le programme de sécurité est détecté, le malware utilise la simulation automatique de la souris pour naviguer dans l'interface Avast et ajouter les fichiers malveillants à sa liste d'exclusion sans désactiver le moteur antivirus pour éviter la détection. Ceci est réalisé à l'aide d'une DLL considérée comme une variante de la famille de logiciels malveillants Blackmoon, connue pour cibler des entreprises en Corée du Sud, aux États-Unis et au Canada. Il est apparu pour la première fois en septembre 2015.
Le fichier ajouté à la liste d'exclusion est un exécutable appelé « Setup.exe », qui est un utilitaire de SyncFutureTec Company Limited et est conçu pour écrire « mysetup.exe » sur le disque. Ce dernier est considéré comme SyncFuture TSM, un outil commercial doté de capacités de surveillance et de gestion à distance (RMM).
En abusant d'une offre légitime, les acteurs malveillants à l'origine de la campagne ont la possibilité de surveiller à distance les points finaux infectés, d'enregistrer les activités des utilisateurs et d'exfiltrer les données qui les intéressent. D'autres fichiers sont également implémentés après l'exécution de l'exécutable :
- Scripts batch qui créent des répertoires personnalisés et modifient leurs listes de contrôle d'accès (ACL) pour accorder des autorisations à tous les utilisateurs.
- Scripts batch qui manipulent les autorisations des utilisateurs sur les dossiers du bureau
- Un script batch effectue des opérations de nettoyage et de restauration.
- Un exécutable appelé “MANC.exe” qui organise différents services et permet une journalisation étendue
“Il leur fournit les outils nécessaires non seulement pour voler des données, mais également pour maintenir un contrôle granulaire sur l'environnement compromis, surveiller l'activité des utilisateurs en temps réel et assurer leur propre persistance”, a déclaré eSentire. « En combinant l'anti-scan, l'élévation de privilèges, le téléchargement de DLL, la réutilisation d'outils commerciaux et l'évasion de logiciels de sécurité, l'acteur malveillant démontre sa capacité et son intention. »
