Une campagne sophistiquée cible les acteurs du marché des cryptomonnaies
Une nouvelle campagne sophistiquée a été découverte ciblant les individus impliqués dans le marché des cryptomonnaies. Cette campagne utilise une approche multi-étapes, en exploitant principalement RDPWrapper et Tailscale pour faciliter l’accès non autorisé et établir le contrôle sur les systèmes des victimes.
Aperçu de la campagne RDPWrapper et Tailscale
La campagne implique plusieurs composants malveillants, notamment des scripts PowerShell, des fichiers batch, des binaires basés sur Go et des exploits ciblant un pilote vulnérable connu sous le nom de Terminator (Spyboy).
Le début de l’attaque se fait avec un fichier Zip malveillant contenant un raccourci (.lnk). Lors de son exécution, ce raccourci déclenche le téléchargement d’un script PowerShell à partir d’un serveur distant, initiant une série d’actions conçues pour compromettre le système de la victime. Notamment, le script PowerShell est obfusqué pour éviter les mécanismes de détection.
Exploitation géographique et sectorielle ciblée
Les attaquants ont adapté leur approche en tenant compte de cibles géographiques et sectorielles. Des preuves suggèrent un intérêt pour les utilisateurs indiens dans l’écosystème des cryptomonnaies, comme l’indique le déploiement d’un faux PDF lié au trading de contrats à terme sur la plateforme d’échange indienne CoinDCX.
Après l’infection initiale, le malware dépose et exécute un chargeur basé sur Go qui effectue des vérifications anti-virtualisation et anti-débogage. Il télécharge ensuite des charges supplémentaires, y compris GoDefender (adr.exe) et des pilotes potentiellement malveillants comme Terminator.sys. Ces charges sont conçues pour échapper à la détection et renforcer le contrôle sur le système compromis.
Implications stratégiques et recommandations pour atténuer les risques
Une fois établi, l’accès RDP accorde aux attaquants un contrôle significatif sur les appareils compromis. Ils peuvent exécuter des commandes, déployer des rançongiciels, exfiltrer des données sensibles ou pivoter vers d’autres systèmes dans le réseau, causant potentiellement de graves dommages opérationnels et financiers.
La recherche de Cyble a révélé des similitudes entre cette campagne et des incidents précédents impliquant la souche de malware StealC. La réutilisation du même faux PDF et des techniques d’attaque suggère un même acteur menaçant derrière ces opérations, ciblant potentiellement les utilisateurs de cryptomonnaies avec divers vecteurs d’attaque.
Pour atténuer les risques des campagnes cyber sophistiquées ciblant les utilisateurs de cryptomonnaies, Cyble recommande des mesures proactives. La surveillance devrait inclure la détection des scripts PowerShell encodés en base64 et des installations de logiciels non autorisées comme les enrobages RDP.
Le renforcement des configurations de sécurité implique de renforcer les paramètres UAC, de surveiller les chemins d’exclusion de Defender et de mettre en place une authentification forte pour les sessions RDP. La segmentation du réseau est cruciale pour isoler les systèmes critiques et minimiser l’impact des compromissions potentielles.
Source : thecyberexpress.com