TinyNuke, un malware de vol d’informations, attaque à nouveau les utilisateurs français

Nuclear fallout

Le malware de vol d’informations TinyNuke est réapparu dans une nouvelle campagne ciblant les utilisateurs français avec des leurres sur le thème des factures dans les e-mails envoyés aux entreprises et aux personnes travaillant dans les secteurs de la fabrication, de la technologie, de la construction et des services aux entreprises.

L’objectif de cette campagne est de voler des informations d’identification et d’autres informations privées et d’installer des charges utiles supplémentaires sur un système compromis.

Réémergence de TinyNuke

L’activité des logiciels malveillants TinyNuke est apparue pour la première fois en 2017, a culminé en 2018, puis a considérablement diminué en 2019 et a presque disparu en 2020.

Observer de nouvelles attaques qui déploient la souche de malware particulière en 2021 est surprenant mais pas tout à fait inattendu.

Nombre de campagnes par an
Nombre de campagnes par an
Source : preuve

Selon les chercheurs de Proofpoint qui ont suivi ces campagnes, cette réémergence se manifeste par deux ensembles d’activités distincts, avec une infrastructure C2, des charges utiles et des thèmes de leurre distincts.

Cela pourrait également indiquer que le malware est utilisé par deux acteurs différents, l’un associé aux acteurs TinyNuke initiaux et l’autre lié aux acteurs qui utilisent généralement des outils de base.

Enfin, il n’y a pas de chevauchement avec la distribution PyLocky comme on le voit en 2018 ou avec toute autre infection par ransomware cette fois.

Charges utiles hébergées sur des sites légitimes

L’acteur compromet des sites Web français légitimes pour héberger l’URL de la charge utile, tandis que les exécutables sont masqués comme des logiciels inoffensifs.

Indicateurs de compromis pour les récentes campagnes TinyNuke
Indicateurs de compromis pour les récentes campagnes TinyNuke
Source : preuve

Pour les communications C2, les campagnes les plus récentes utilisent Tor, qui est la même méthode utilisée depuis 2018.

L’une des chaînes, « nikoumouk », utilisée dans ces communications est la même qu’un terme d’argot découvert dans l’analyse de 2018, reliant davantage cette campagne aux acteurs de la menace d’origine.

« Les chercheurs de Proofpoint ont observé la chaîne « nikoumouk » envoyée au serveur C2 dans un but inconnu. Selon des partenaires de partage d’informations et des informations open source, les acteurs utilisaient auparavant cette chaîne dans les communications C2 lors de campagnes précédentes depuis 2018″, explique Rapport de Proofpoint.

« La ficelle est une insulte en arabe populaire, principalement utilisée dans les banlieues francophones d’Europe. »

Dans les campagnes actuelles, les e-mails incluent des URL qui téléchargent des fichiers ZIP. Ces fichiers ZIP contiennent un fichier JavaScript qui exécutera les commandes PowerShell pour télécharger et exécuter le malware TinyNuke.

Code PowerShell récupérant le fichier ZIP de charge utile
Code PowerShell récupérant le fichier ZIP de charge utile
Source : preuve

En termes de capacités, le chargeur TinyNuke peut voler des informations d’identification avec des capacités de saisie de formulaire et d’injection Web pour Firefox, Internet Explorer et Chrome, et peut également installer des charges utiles supplémentaires.

La persistance est sécurisée en ajoutant une nouvelle clé de registre, comme indiqué ci-dessous :

Key: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunx00E02BC647BACE72A1xe4x8dx82
Data: C:Users[User]AppDataRoamingE02BC647BACE72A1firefox.exe

ise en garde

Bien que les campagnes en cours utilisent des leurres spécifiques, les acteurs pourraient mettre à jour leurs messages pour présenter aux destinataires de nouveaux appâts.

De plus, si de nouveaux acteurs utilisent TinyNike, cela signifie probablement que les auteurs originaux le vendent sur le dark web, ou que son code peut circuler indépendamment depuis sa sortie sur GitHub il y a quelques années.

Quoi qu’il en soit, son déploiement pourrait encore augmenter et la gamme de leurres de courrier électronique déployés contre des cibles pourrait devenir très large.

Exemple de message de la récente campagne TinyNuke
Exemple de message de la récente campagne TinyNuke
Source : preuve

Il est essentiel de rester vigilant et d’éviter de cliquer sur des boutons intégrés qui mènent à des sites hébergeant l’exécutable compressé malveillant.

Étant donné que ces sites sont par ailleurs légitimes, votre solution de sécurité Internet peut ne pas émettre de signalement, c’est pourquoi une extrême prudence est recommandée.