Un nouveau logiciel malveillant obfusqué cible les données sensibles
Des chercheurs ont découvert un nouveau type de logiciel malveillant obscurci, spécialement conçu pour voler des données sensibles sur les ordinateurs des victimes. Les logiciels malveillants sont distribués par le biais d'e-mails de phishing qui semblent légitimes mais contiennent un lien vers un site web malveillant qui télécharge des logiciels malveillants sur l'ordinateur de la victime.
"La plupart de ces paquets avaient des noms bien pensés, pour confondre volontairement les gens", a déclaré Ax Sharma, chercheur en sécurité et journaliste. Les lignes 50 et 54 contenant un "bytes object" Python en hexagone créent essentiellement un fichier binaire Linux (ELF) qui est un cheval de Troie Meterpreter généré par l'outil de pentesting Metasploit [analyse VirusTotal]. Le fichier est très dépouillé et obfusqué, ce qui rend son analyse difficile. La charge utile Meterpreter s'exécute en mémoire et permet à un attaquant d'obtenir un accès shell à la machine infectée.
Une fois installé, le malware utilise diverses techniques pour éviter d'être détecté, comme le cryptage de sa charge utile et l'obscurcissement du code. Le malware est également capable d'échapper aux logiciels de sécurité et aux pare-feux en se faisant passer pour un trafic réseau légitime.
Les paquets en question sont aptx, bingchilling2, httops et tkint3rs, qui ont été téléchargés environ 450 fois avant d'être supprimés. Alors qu'aptx est une tentative d'imitation du codec audio Qualcomm du même nom, largement utilisé, httops et tkint3rs sont des fautes d'orthographe de https et tkinter, respectivement.
Le malware a pour but de voler des informations sensibles telles que les noms d'utilisateur, les mots de passe, les numéros de carte de crédit et d'autres informations financières. Pour capturer les informations sensibles, il réalise également des captures d'écran et enregistre les frappes au clavier.
Le code tente ensuite de créer/modifier le fichier "authorized keys" dans le dossier ".ssh". Il est ainsi encore plus facile pour l'attaquant d'installer une porte dérobée SSH sur la machine infectée, à laquelle il peut se connecter ultérieurement.
Selon les chercheurs, le malware fait partie d'une campagne plus vaste visant à voler des informations sensibles à des organisations ciblées. Ils ont conseillé aux entreprises de surveiller leurs réseaux pour détecter toute activité suspecte et de maintenir leurs logiciels de sécurité à jour avec les derniers correctifs.
Les sources de cet article comprennent un article de TheHackerNews.