Un acteur iranien nouvellement découvert vole les informations d’identification Google et Instagram appartenant à des cibles de langue farsi dans le monde entier à l’aide d’un nouveau voleur basé sur PowerShell, baptisé PowerShortShell par les chercheurs en sécurité de SafeBreach Labs.
Le voleur d’informations est également utilisé pour la surveillance de Telegram et la collecte d’informations système à partir d’appareils compromis qui sont envoyées à des serveurs contrôlés par des attaquants avec les informations d’identification volées.
Comme SafeBreach Labs l’a découvert, les attaques (rendu public en septembre sur Twitter par le Shadow Chaser Group) a commencé en juillet sous la forme d’e-mails de spear-phishing.
Ils ciblent les utilisateurs Windows avec des pièces jointes Winword malveillantes qui exploitent un bug d’exécution de code à distance Microsoft MSHTML (RCE) suivi comme CVE-2021-40444.
La charge utile du voleur PowerShortShell est exécutée par une DLL téléchargée sur les systèmes compromis. Une fois lancé, le script PowerShell commence à collecter des données et des captures d’écran, les exfiltrant vers le serveur de commande et de contrôle de l’attaquant.
« Près de la moitié des victimes se trouvent aux États-Unis. Sur la base du contenu du document Microsoft Word – qui accuse le dirigeant iranien du » massacre de Corona « et de la nature des données collectées, nous supposons que les victimes pourraient être des Iraniens vivant à l’étranger et pourrait être considéré comme une menace pour le régime islamique iranien », mentionné Tomer Bar, directeur de la recherche en sécurité chez SafeBreach Labs.
« L’adversaire pourrait être lié au régime islamique iranien puisque l’utilisation de la surveillance Telegram est typique des acteurs de la menace iraniens comme Infy, Ferocious Kitten et Rampant Kitten. »
Le bug CVE-2021-40444 RCE affectant le moteur de rendu MSTHML d’IE a été exploité dans la nature comme un jour zéro à partir du 18 août, plus de deux semaines avant que Microsoft ne publie un avis de sécurité avec une solution de contournement partielle, et trois semaines avant un correctif a été libéré.
Plus récemment, il a été exploité en conjonction avec des publicités malveillantes par le gang de ransomware Magniber pour infecter des cibles avec des logiciels malveillants et crypter leurs appareils.
Microsoft a également déclaré que plusieurs acteurs de la menace, y compris des sociétés affiliées à des ransomwares, avaient ciblé ce bug Windows MSHTML RCE à l’aide de documents Office conçus de manière malveillante et transmis via des attaques de phishing.
Ces attaques ont abusé de la faille CVE-2021-40444 « dans le cadre d’une campagne d’accès initiale qui a distribué des chargeurs Cobalt Strike Beacon personnalisés ».
Les balises déployées communiquaient avec une infrastructure malveillante liée à plusieurs campagnes de cybercriminalité, y compris, mais sans s’y limiter, les ransomwares actionnés par l’homme.
Il n’est pas surprenant que de plus en plus d’attaquants utilisent les exploits CVE-2021-40444 depuis que les acteurs malveillants ont commencé à partager des didacticiels et des exploits de preuve de concept sur des forums de piratage avant même que le bug ne soit corrigé.
Cela a probablement permis à d’autres acteurs et groupes malveillants de commencer à exploiter la faille de sécurité dans leurs propres attaques.
Les informations partagées en ligne sont simples à suivre et permettent à quiconque de créer facilement sa propre version fonctionnelle d’un exploit CVE-2021-40444, y compris un serveur Python qui peut distribuer des documents malveillants et des fichiers CAB aux systèmes compromis.
En utilisant ces informations, EZpublish-france.fr pourrait également reproduire avec succès l’exploit en 15 minutes environ, comme démontré dans cette démo vidéo.