Les acteurs de la menace abusent du populaire gestionnaire de packages Chocolatey Windows dans une nouvelle campagne de phishing pour installer le nouveau malware de porte dérobée « Serpent » sur les systèmes des agences gouvernementales françaises et des grandes entreprises de construction.
Chocolatey est un gestionnaire de packages open source pour Windows qui permet aux utilisateurs d’installer et de gérer plus de 9 000 applications et toutes les dépendances via la ligne de commande.
Dans une nouvelle campagne de phishing découverte par Proofpoint, les acteurs de la menace utilisent une chaîne d’infection complexe composée de documents Microsoft Word contenant des macros, du gestionnaire de packages Chocolatey et d’images stéganographiques pour infecter les appareils tout en contournant la détection.
Sténographie + Chocolatey pour échapper à la détection
Les chercheurs de Proofpoint ont découvert une nouvelle campagne de phishing ciblant les organisations françaises des secteurs de la construction, de l’immobilier et de l’administration.
L’attaque en plusieurs étapes commence par un e-mail de phishing se faisant passer pour l’agence du Règlement général sur la protection des données (RGPD) de l’Union européenne. Cet e-mail inclut un document Word en pièce jointe contenant un code de macro malveillant.
Si elle est ouverte et que le contenu est activé, la macro malveillante récupère une image de Swiper the Fox de la série de dessins animés Dora l’exploratrice.
Cependant, cette image n’est pas entièrement anodine, car elle utilise Stenography pour masquer un script PowerShell que les macros exécuteront. La sténographie est utilisée pour masquer des données, dans ce cas, un code malveillant, pour échapper à la détection par les utilisateurs et les outils antivirus car elles apparaissent comme une image normale.
Le script PowerShell téléchargera et installera d’abord le gestionnaire de packages Chocolatey Windows, qui est ensuite utilisé pour installer le langage de programmation Python et le programme d’installation du package PIP, comme indiqué ci-dessous.
La source: EZpublish-france.fr
Chocolatey est également utilisé pour échapper à la détection par les logiciels de sécurité, car il est couramment utilisé dans les environnements d’entreprise pour gérer les logiciels à distance et pourrait figurer sur une liste autorisée dans les environnements informatiques.
« Proofpoint n’a jamais observé d’acteur menaçant utiliser Chocolatey dans des campagnes », expliquent les chercheurs de Proofpoint dans leur rapport.
Finalement, une deuxième image stéganographique est téléchargée pour charger la porte dérobée Serpent, qui est un logiciel malveillant basé sur Python, d’où la nécessité des packages précédemment installés dans les étapes précédentes.
Une fois chargé, le malware de porte dérobée Serpent communiquera avec le serveur de commande et de contrôle de l’attaquant pour recevoir des commandes à exécuter sur l’appareil infecté.
Proofpoint indique que la porte dérobée peut exécuter n’importe quelle commande envoyée par les attaques, permettant aux acteurs de la menace de télécharger d’autres logiciels malveillants, d’ouvrir des shells inversés et d’obtenir un accès complet à l’appareil.
Chocolatey a déclaré à EZpublish-france.fr qu’ils n’étaient pas au courant que leur logiciel avait été abusé de la sorte et qu’ils examinaient la question.
Probablement un nouvel acteur menaçant
Outre la porte dérobée personnalisée (Serpent) et l’abus de Chocolatey, qui n’a jamais été observé dans le domaine des cybermenaces, Proofpoint a également remarqué une nouvelle application d’exécution de proxy binaire signé à l’aide de schtrasks.exe, essentiellement une nouvelle technique de contournement de la détection.
Ces éléments indiquent que l’auteur de la menace est un nouveau groupe, caractérisé par une sophistication et des capacités élevées, et non lié à d’autres agents connus.
Proofpoint n’a pu détecter aucun élément pouvant être utilisé pour attribuer l’activité à un acteur de menace particulier, ce qui indique la sécurité opérationnelle globale de l’acteur.
Bien que l’objectif de l’adversaire inconnu n’ait pas encore été déterminé, il semble que la tactique pointe vers l’espionnage, l’accès aux données, le contrôle de l’hôte et l’installation de charges utiles supplémentaires étant les principaux piliers des attaques.