Les auteurs de la cyberattaque Musical Chairs ont actualisé le RAT

Il y a quelques jours, des experts de Palo Alto Networks ont levé le voile sur une cybercampagne qui utilise le Trojan Gh0st RAT et qui est active depuis plus de cinq ans. Cette campagne malveillante a été baptisée Musical Chairs (chaises musicales) ; dans le cadre de celle-ci, une nouvelle version du malware a commencé à être diffusée en juillet. Elle a été baptisée Piano Gh0st par la société californienne spécialisée dans la sécurité de l’information.

Les chercheurs signalent que le Trojan Gh0st RAT est d’origine chinoise, qu’il est connu depuis longtemps et qu’il est souvent utilisé dans les campagnes d’espionnage. Son code source et le builder sont accessibles sur Internet. La nouvelle version Piano est une des versions dérivées de la version Gh0st 3.6. Les auteurs de Musical Chairs utilisent un nouvel emballage pour masquer la charge utile : Piano Gh0st arrive chez la victime sous la forme d’un fichier exécutable auto-extractible (SFW) qui fait office de dropper. La charge utile est enregistrée dans le système en tant que Piano.dll. Les fonctions principales de ce fichier sont le déchiffrement, le téléchargement et l’exécution de la bibliothèque dynamique qu’il contient (cheval de Troie Gh0stRat). A l’instar des autres versions de Gh0st 3.6 utilisées dans le cadre de Musical Chairs, Piano est capable d’enregistrer les frappes au clavier et de garantir un accès à distance, notamment via l’utilisation des connexions audio et vidéo, ainsi que la gestion des fichiers en tant qu’administrateur.

« Ce qui marque le plus dans l’infrastructure de Musical Chairs, c’est sa longévité et l’utilisation de plusieurs serveurs de gestion de Gh0st sur un même nœud » explique les chercheurs sur le blog de Palo Alto. Ceci étant dit, ils estiment, d’après leurs observations, que les individus malintentionnés n’utilisent qu’un seul serveur de commande depuis deux ans pour communiquer avec le malware via une version personnalisée du protocole TCP.

D’après les données obtenues, les auteurs de la campagne Musical Chairs utilisent certains domaines depuis 2010. Le domaine le plus ancien dans cette infrastructure est lié à un serveur Windows 2003 associé à une adresse IP américaine. Toutefois, l’accès à ce dernier s’opère via une interface en chinois. D’après les données de Palo Alto, ce serveur a été sollicité par au moins 32 versions différentes de Gh0st de 2013 à nos jours.

Les chercheurs ne se sont pas prononcés sur l’identité des auteurs de Piano Gh0St mais ils se sont contenté de signaler que Gh0stRat-dll contient un chemin d’accès vers un débogueur qui contient des caractères chinois. Cela peut vouloir dire que l’auteur du virus a installé le kit linguistique chinois (GB2312).

Le Trojan Gh0st RAT se propage normalement via des campagnes de spam de phishing au départ de comptes compromis. Le fichier malveillant joint au message porte en général un nom évocateur comme Beautiful Girls.exe (jolies filles), Sexy Girls.exe (filles sexy) ou Gift card.exe (chèque-cadeau). D’après Palo Alto, les éléments d’ingénierie sociale utilisés par les diffuseurs des messages sont assez simples, les cibles sont choisies au hasard et les diffusions sont organisées depuis des boîtes aux lettres compromises chez des fournisseurs américains.

« Les comptes donnent une impression de légitimité et ils ont certainement été compromis par les auteurs de l’attaque. Dans de nombreux cas, les messages de phishing sont envoyés à tous les contacts du carnet d’adresses de la victime, y compris aux adresses no-reply que les opérateurs humains ignorent normalement » expliquent les chercheurs. Les chercheurs de Palo Alto affirment que pour l’instant, les attaques de Piano Gh0st se limitent principalement au territoire des Etats-Unis.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *