Un système de passerelles dynamiques au service d’une structure criminelle qui organise des attaques via le kit d’exploitation Fiesta

Une structure criminelle rusée, qui sévit depuis plus d’un an déjà, utilise une série d’adresses, de domaines et de passerelles dynamiques afin d’infecter ses victimes avec le kit d’exploitation Fiesta.

Fiesta appartient à la vague de kits d’exploitation qui ont emboîté le pas à Blackhole, un kit d’exploitation qui a peu a peu disparu après l’arrestation de Dmitri Fedotov, son auteur présumé, devenu célèbre sous le pseudonyme Paunch. S’il est vrai que le kit d’exploitation Angler est considéré comme le kit ayant remporté le plus de succès après Blackhole, des kits de second plan comme Nuclear et Fiesta ont également fait parler d’eux et ont infecté un volume considérable d’ordinateurs.

Brad Duncan, expert en sécurité chez Rackspace, une société de gestion dans le nuage, surveille depuis plus d’un an l’activité du groupe qui utilise Fiesta. Dans un billet publié sur le forum de l’institut de sécurité de l’information SANS, il a expliqué que le groupe achemine le trafic depuis les sites compromis via des passerelles ou des domaines de redirection vers le domaine malveillant final qui héberge le kit d’exploitation.

Brad Duncan a baptisé ce groupe "Opérateur de passerelles BizCN" car il utilise exclusivement des domaines achetés sur www.bizcn.com, site d’un service d’enregistrement de nom de domaine chinois. Il explique que les informations sur le service d’enregistrement sont protégées, si bien que personne ne peut connaître l’identité de ceux qui enregistrent les sites des passerelles malveillants, mais tous ces sites correspondent au même moment à une seule et même adresse IP. Actuellement, il s’agit de l’adresse 205[.]234[.]186[.]114. D’après Brad Duncan, plus tôt au cours de ce mois, les domaines malveillants pointaient vers 136[.]243[.]227[.]9. D’après la publication de Brad Duncan, il est probable que l’adresse IP changera à nouveau.

Chaque domaine de passerelle malveillant correspond à un site Internet distinct compromis.

Brad Duncan indique que pour trouver des indices d’infection via cette attaque, "les organisations qui tiennent des journaux pour le proxy Internet peuvent rechercher 136[.]243[.]227[.]9 dans les requêtes HTTP. Ces en-têtes HTTP doivent contenir le champ Referer avec l’adresse du site compromis.

A l’heure actuelle, cette structure utilise Fiesta pour propager des malwares qui se copient dans les dossiers appdata/local des ordinateurs des victimes et qui actualisent les clés de la base de registres pour garantir leur persistance sur les ordinateurs. Le texte de Brad Duncan contient un lien vers une des charges utiles malveillantes utilisées dans le cadre des attaques qu’il étudie. Le malware est classé différemment par chacun des logiciels antivirus repris sur VirusTotal.

D’après Brad Duncan, les chercheurs pourraient être confrontés à des difficultés lors de l’analyse des menaces car il est très difficile de suivre la chaîne complète de l’infection.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *