Les banques africaines fortement ciblées par les campagnes de logiciels malveillants RemcosRAT

RAT

Les banques africaines sont de plus en plus ciblées par des campagnes de distribution de logiciels malveillants qui utilisent des astuces de contrebande HTML et des domaines typo-squattés pour éliminer les chevaux de Troie d’accès à distance (RAT).

Les cybercriminels intéressés par des gains financiers rapides sont une source constante de problèmes pour les banques en Afrique, qui ont eu recours au déploiement de contrôles de sécurité stricts aux passerelles.

Cela a forcé les acteurs de la menace à concevoir des attaques plus intelligentes qui pourraient contourner les mesures de protection, et en 2022, les campagnes de ciblage bancaire utilisent une combinaison d’astuces.

L’une de ces campagnes de 2022 a été découverte par HP Loup Sécuritédont les analystes se sont penchés sur les tactiques de l’adversaire et les étapes d’infection qu’ils suivent.

Le leurre

L’attaque commence par un e-mail de phishing envoyé à un employé de banque à partir d’un domaine squatté qui ressemble à l’URL d’une entreprise légitime, généralement une banque concurrente.

L’e-mail présente au destinataire une offre d’emploi lucrative et des liens vers les détails dudit site. Suivre ce lien amène la victime à une page Web contenant des instructions d’application.

Domaine typo-squatté hébergeant du contenu volé
Domaine typo-squatté hébergeant du contenu volé (HP)

Le contenu de cette page est copié à partir d’une liste réelle par la banque imitée, de sorte que les détails y semblent réalistes de manière convaincante.

Ces sites n’effectuent pas de phishing ou n’hébergent pas de logiciels malveillants, leur seul but est donc de guider la victime sur le chemin de l’infection.

La charge utile

La charge utile arrive sous la forme d’une pièce jointe HTML sur ledit message électronique, qui est un fichier d’archive ISO encodé en base64 décodé à la volée et proposé au téléchargement via un blob JavaScript sur le navigateur.

Le fichier ISO encodé en base64
Le fichier ISO encodé en base64 (HP)

Cette technique de détournement de formats de fichiers risqués sans déclencher d’alarmes à partir de produits de sécurité de messagerie est appelée contrebande HTML, et c’est une méthode de distribution de charge utile bien établie et tendance.

Le fichier ISO contient un fichier Visual Basic Script (VBS), qui s’exécute lors d’un double-clic pour créer une nouvelle clé de registre et exécuter des commandes PowerShell qui appellent diverses fonctions de l’API Windows.

Après une série d’exécutions de codes malveillants et d’abus d’API Windows, GuLoader est assemblé sur le système et exécuté pour télécharger et exécuter le logiciel malveillant RemcosRAT.

Selon les analystes des menaces de HP, GuLoader a deux URL de téléchargement dans sa configuration, l’une pointant vers Dropbox et l’autre vers OneDrive, il y a donc une certaine redondance implémentée à ce stade.

Il est également important de noter que GuLoader est exécuté via PowerShell stocké dans le registre et s’exécute sur la mémoire système, de sorte que la plupart des outils antivirus ne le détecteront pas.

Comme le souligne HP, le seul moyen de briser la chaîne d’infection serait de définir l’application par défaut pour les fichiers de script de Windows Script Host sur le Bloc-notes, ce qui révélerait la véritable nature du fichier VBS.

Contenu du fichier VBS tel qu'il apparaît sur le Bloc-notes
Contenu du fichier VBS tel qu’il apparaît sur le Bloc-notes (HP)

Le but

Remcos est un outil d’accès à distance commercial (RAT) par ailleurs légitime qui est utilisé par les cybercriminels à des fins malveillantes depuis plusieurs années maintenant.

C’est un outil puissant prenant en charge l’exécution de commandes à distance, la capture d’écran, l’enregistrement des frappes, l’enregistrement par webcam et microphone, etc.

Potentiellement, les acteurs de la menace utilisent Remcos pour renifler les détails des transactions, voler des informations d’identification précieuses, se déplacer latéralement dans le réseau de la banque ou voler les informations nécessaires aux attaques BEC.

L’extorsion financière via l’exfiltration de données ou le déploiement de rançongiciels est également probable, tandis que les acteurs de la menace peuvent toujours choisir de vendre leur accès au réseau à d’autres pirates et gagner rapidement de l’argent sans risquer d’avoir des ennuis avec les forces de l’ordre.