La dernière version de Bandook vole des documents et des identifiants sensibles sur des réseaux d’entreprise, crée une extension Chrome malveillante et détourne des raccourcisseurs d’URL tels que Rebrandly et Bitly
ESET Research a récemment découvert une nouvelle campagne utilisant des versions plus avancées de l’ancien malware Bandook pour espionner ses victimes. La campagne encore active à ce jour vise des réseaux d’entreprise dans les pays hispanophones, avec 90 % des détections de la télémétrie d’ESET au Venezuela. Les chercheurs d’ESET ont découvert de nouvelles fonctionnalités et des changements dans Bandook. En raison du malware utilisé et de la langue ciblée, ESET a choisi de nommer cette campagne Bandidos.
ESET a constaté plus de 200 détections de téléchargeurs malveillants au Venezuela en 2021, mais aucun secteur spécifique ciblé par cette campagne malveillante n’a pu être identifié. D’après les données de télémétrie, les pirates s’intéressent principalement à des réseaux d’entreprises du Venezuela : certains dans des entreprises manufacturières, et d’autres dans le secteur de la construction, de la santé, des services logiciels et même de la vente au détail. Compte tenu des fonctionnalités du malware et du type d’informations exfiltrées, il semble que l’objectif principal de Bandidos soit l’espionnage.
Les victimes potentielles reçoivent des emails malveillants avec une pièce jointe au format PDF, qui contient un lien pour télécharger une archive compressée et le mot de passe pour l’extraire. Un fichier exécutable à l’intérieur de l’archive injecte Bandook dans un processus Internet Explorer. Les pirates utilisent des raccourcisseurs d’URL, tels que Rebrandly ou Bitly, dans leurs pièces jointes PDF pour rediriger vers des services de stockage dans le Cloud tels que Google Cloud Storage, SpiderOak ou pCloud, à partir desquels le malware est téléchargé. L’objectif principal du téléchargeur est de décoder, déchiffrer et exécuter le malware, et de veiller à ce qu’il persiste dans un système compromis.
« La fonctionnalité ChromeInject est particulièrement intéressante, » déclare Fernando Tavella, le chercheur d’ESET qui a enquêté sur la campagne Bandidos. « Lorsque la communication avec le serveur de commande et de contrôle du pirate est établie, le malware télécharge un fichier DLL qui possède une méthode exportée de création d’une extension Chrome malveillante. L’extension malveillante tente de récupérer les identifiants que la victime envoie via une URL. Ils sont stockés localement dans Chrome. »
Bandook est un ancien cheval de Troie d’accès à distance. Certaines informations indiquent qu’il était disponible en ligne dès 2005, mais son utilisation par des groupes de pirates n’a été documentée qu’à partir de 2016, année à laquelle il aurait été utilisé pour cibler des journalistes et des dissidents en Europe. Puis, en 2018, il a été utilisé pour attaquer de nouvelles cibles, notamment des établissements d’enseignement, des avocats et des professionnels de la santé. Enfin, en 2020, il a été observé dans des attaques contre de multiples secteurs : gouvernement, finance, informatique et énergie.
« Des études précédentes ont mentionné que les développeurs de Bandook pourraient être disponibles contre rémunération, ce qui est logique étant donné les différentes campagnes et les différentes cibles au fil des ans. Il faut cependant noter qu’en 2021, nous n’avons noté qu’une seule campagne active, visant les pays hispanophones que nous précisons ici. Cela montre qu’il s’agit toujours d’un outil pertinent pour les cybercriminels, » estime Matías Porolli, le chercheur d’ESET qui a travaillé sur l’analyse avec M. Tavella.
Aperçu d’une attaque typique de la campagne Bandidos
Pour plus de détails techniques sur Bandidos, lisez l’article « Bandidos at large: a spying campaign in Latin America » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
CONTACTS PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 – [email protected]
Ines KHELIFI : +33 01 55 89 29 30 – [email protected]
_______________________________________
À propos d’ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.
Pour plus d’informations : www.eset.com/na/ Blog : www.welivesecurity.com/fr