Les experts mettent en garde contre une nouvelle variante du malware RedLine qui se diffuse via des courriels en utilisant une fausse application de compteur d’état Covid-19 Omicron comme appât.

Les chercheurs de Fortinet ont repéré une nouvelle version du voleur d’informations RedLine qui se propage par le biais d’e-mails en utilisant une fausse application de compteur d’état Covid-19 Omicron comme appât.

Le malware RedLine permet aux opérateurs de voler plusieurs informations, notamment des informations d’identification, des données de cartes de crédit, des cookies, des informations de saisie automatique stockées dans les navigateurs, des portefeuilles de crypto-monnaies, des informations d’identification stockées dans les clients VPN et les clients FTP. Le code malveillant peut également agir comme un malware de première étape.

Les données volées sont stockées dans une archive (logs) avant d’être téléchargées sur un serveur sous le contrôle des attaquants.

La nouvelle variante découverte par Fortinet porte le nom de fichier “Omicron Stats.exe”. Les acteurs de la menace tentent d’exploiter l’énorme intérêt à l’échelle mondiale pour la variante Covid-19 Omicron.

Selon FortiGuard Labs, les victimes potentielles de cette variante de RedLine Stealer sont situées dans au moins 12 pays, une circonstance qui suggère que les attaquants n’ont pas ciblé des organisations ou des individus spécifiques.

Comme d’autres campagnes de malspam à thème Covid-19, la chaîne d’infection commence par l’ouverture d’un document armé utilisé comme pièce jointe.

Une fois exécuté, Omicron Stats.exe décompresse les ressources cryptées par triple DES en utilisant le ciphermode ECB et le padding mode PKCS7. Ensuite, les ressources décompressées sont injectées dans vbc.exe et une tâche planifiée est créée pour établir la persistance.

La nouvelle variante met en œuvre plusieurs nouvelles fonctionnalités, elle est capable de voler plus d’informations à partir de l’instrumentation de gestion Windows (WMI) de la victime, telles que :

Le nom de la carte graphique ;

Fabricant du BIOS, code d’identification, numéro de série, date de sortie et version ;

Le fabricant du disque dur, le modèle, le nombre total de têtes et la signature ;

Informations sur le processeur (CPU) telles que l’ID unique, l’ID du processeur, le fabricant, le nom, la vitesse d’horloge maximale et les informations sur la carte mère.

La nouvelle variante de RedLine recherche les chaînes de caractères suivantes pour localiser les dossiers pertinents pour l’exfiltration de données :

wallet.dat (informations relatives aux crypto-monnaies) 

wallet (informations relatives aux crypto-monnaies)  

Données de connexion 

Données Web

Cookies

Opera GX Stable

Opera GX

Le malware recherche également les dossiers Telegram pour localiser les images et les historiques de conversation à voler, il se concentre également sur Tokens.txt qui est utilisé pour l’accès à Discord.

Cette variante utilise 207[.]32.217.89 comme serveur C2 via le port 14588.

“Cette IP est détenue par 1gservers. Au cours des quelques semaines qui ont suivi la publication de cette variante, nous avons remarqué qu’une adresse IP en particulier communiquait avec ce serveur C2”, indique le rapport publié par Fortinet. 

Cette adresse IP 149[.]154.167.91 est située en Grande-Bretagne et fait partie du Telegram Messenger Network. Il semble que le serveur C2 puisse être contrôlé par les opérateurs de RedLine par le biais d’un service de messagerie Telegram abusé. Cette conclusion n’est pas un saut énorme car le ou les auteurs du malware proposent à la fois des lignes d’achat et d’assistance dédiées via leurs groupes Telegram respectifs”.

Les experts pensent que RedLine Stealer continuera à profiter de la pandémie actuelle de Covid et que les informations volées continueront à alimenter les marchés clandestins de la cybercriminalité.

Source : CERT.tn

L’article CERT.tn : une nouvelle version du malware RedLine distribuée sous forme de faux compteur de statistiques Omicron est apparu en premier sur Managers.

Les chercheurs d’ESET, éditeur européen de solutions de sécurité, ont découvert une famille de malwares de type cheval de Troie, jusqu’alors inconnue, qui se répand via des torrents malveillants et qui utilise plusieurs ruses pour voler autant de cryptomonnaie que possible, auprès de ses victimes, tout en échappant à la détection.

Les ressources de la victime utilisées par KryptoCibule

La solution antivirus a nommé la menace KryptoCibule, un malware qui semble cibler principalement des utilisateurs en République tchèque et en Slovaquie.

Il s’agit d’une triple menace en ce qui concerne les cryptomonnaies. Celle-ci utilise, en effet, les ressources de la victime pour miner des cryptomonnaies, tente de détourner des transactions en remplaçant les adresses des portefeuilles dans le presse-papiers et exfiltre des fichiers liés aux cryptomonnaies, tout en déployant de multiples techniques pour éviter d’être détecté. En outre, KryptoCibule utilise largement le réseau Tor et le protocole BitTorrent dans son infrastructure de communication.

« Le malware, tel qu’il a été développé, utilise des logiciels légitimes. Certains d’entre eux, tels que Tor et le client de torrents Transmission, sont fournis avec le programme d’installation ; d’autres sont téléchargés au moment de l’exécution, notamment les serveurs Apache httpd et SFTP Buru, » explique Matthieu Faou, le chercheur d’ESET qui a découvert la nouvelle famille de malwares.

ESET a identifié plusieurs versions de KryptoCibule, qui sont encore actives, ce qui nous a permis de retracer leurs débuts à décembre 2018. De nouvelles fonctionnalités ont été régulièrement ajoutées au malware au cours de sa constante évolution.

Trois composants qui exploitent les hôtes infectés

La plupart des victimes sont situées en République tchèque et en Slovaquie, ce qui reflète la base d’utilisateurs du site qui héberge les torrents infectés. Presque tous les torrents malveillants étaient disponibles sur uloz.to, un site de partage de fichiers très populaire dans les deux pays. KryptoCibule recherche également spécifiquement la présence des produits de sécurité pour terminaux : ESET, Avast et AVG. ESET a son siège en Slovaquie, tandis que les deux autres sont détenus par Avast, dont le siège est situé en République tchèque.

« KryptoCibule possède trois composants qui exploitent les hôtes infectés afin d’obtenir de la cryptomonnaie : chiffrement, détournement du presse-papiers et exfiltration de fichiers, » poursuit M. Faou. « On peut supposer que les opérateurs du malware ont réussi à gagner plus d’argent en volant des portefeuilles et en extrayant des cryptomonnaies que ce que nous avons trouvé dans les portefeuilles utilisés par le composant de détournement du presse-papiers. À lui seul, le revenu généré par ce composant ne semble pas suffisant pour justifier l’effort de développement observé ».

L’article ESET présente KryptoCibule, un malware voleur de cryptomonnaies est apparu en premier sur Managers.