Support technique
Documentation
Connexion
Nous contacter
Des pirates déposent CoinMiner et Quasar RAT en utilisant le botnet Emotet.
1er novembre 2022 - L'équipe de relations publiques de TuxCare
Les pirates utilisent le botnet Emotet pour exploiter des fichiers d'archives protégés par mot de passe afin de déposer CoinMiner et le RAT Quasar sur des appareils vulnérables. Selon l'un des échantillons analysés par les chercheurs en sécurité, un fichier ZIP sur le thème de la facture contient une archive auto-extractible (SFX) imbriquée. La première archive sert de conduit pour lancer la seconde.
L'attaque a été découverte par des chercheurs en sécurité de Trustwave SpiderLabs. Trustwave affirme avoir identifié une augmentation des menaces emballées dans des fichiers ZIP protégés par mot de passe, et la société de sécurité affirme qu'environ 96 % de ces menaces ont été diffusées par le botnet Emotet.
Les chercheurs expliquent que la campagne de malspam est unique en ce sens qu'il n'est pas nécessaire de convaincre la cible d'ouvrir la pièce jointe. Au lieu de cela, la campagne utilise un fichier batch pour fournir automatiquement le mot de passe permettant de déverrouiller la charge utile.
Le fichier d'archive auto-extractible (SFX) utilise un symbole PDF ou Excel pour donner l'impression d'être légitime. En réalité, le fichier SFX se compose de trois éléments : le second fichier RAR SFX protégé par un mot de passe, le script batch susmentionné qui lance l'archive et un PDF ou une image appât.
Une fois que le fichier batch a été exécuté, il entraîne l'installation du malware qui se cache dans l'archive RARsfx [archive RAR auto-extractible] protégée par un mot de passe. Pour ce faire, le script batch spécifie le mot de passe de l'archive tbe et le dossier de destination vers lequel extraire la charge utile. Il lance également une commande pour afficher le document leurre afin de dissimuler l'activité malveillante.
Également connue sous le nom de technique en un clic, elle permet de contourner la barrière du mot de passe, ce qui permet aux acteurs malveillants d'effectuer un large éventail d'actions, notamment le cryptojacking, l'exfiltration de données et les ransomwares.
"L'archive auto-extractible existe depuis longtemps et facilite la distribution des fichiers entre les utilisateurs finaux. Cependant, elle présente un risque pour la sécurité car le contenu du fichier n'est pas facilement vérifiable et elle peut exécuter des commandes et des exécutables de manière silencieuse", ont déclaré les chercheurs.
Les sources de cet article comprennent un article de TheHackerNews.
