Dans le cadre de la vaste campagne de surveillance de Rampant Kitten (groupe de piratage), des chercheurs ont découvert de possibles menaces.
Ces menaces ciblent les données des appareils personnels des victimes, les informations d’identification du navigateur et les fichiers d’application de messagerie Telegram. Dans leur arsenal, le groupe compte un logiciel malveillant Android qui collecte tous les codes de sécurité à double authentification (2FA) envoyés aux appareils, détecte les informations d’identification Telegram et lance les attaques de phishing de compte Google.
Rampant Kitten et son mode de fonctionnement
Rampant Kitten ciblait des entités iraniennes avec des campagnes de surveillance depuis au moins six ans. Il s’est appuyé sur un large éventail d’outils pour mener à bien ses attaques, y compris quatre variantes de voleur d’informations Windows. Ces dernières sont utilisées pour voler les informations d’identification des comptes Telegram et KeePass. Celles-ci servent également de porte dérobée sur Android pour extraire les codes 2FA des messages SMS et enregistrer l’environnement vocal du téléphone.
Après une opération de suivi de grande envergure, les chercheurs de Check Point Research ont rassemblé des preuves indiquant que les acteurs de la menace qui semblent opérer depuis l’Iran profitent de multiples vecteurs d’attaque pour espionner leurs victimes en attaquant ordinateurs personnels et appareils mobiles.
Les attaques
Le document intitulé « Le régime craint la propagation des canons révolutionnaires.docx » (traduction) permet à Rampant Kitten de mener ses attaques. Une fois ouvert, le fichier charge un modèle de document à partir d’un serveur distant (afalr-sharepoint [.] Com), qui se fait passer pour un site Web pour une organisation à but non lucratif qui aide les dissidents iraniens. Il télécharge ensuite un code de macro malveillant, qui exécute un script batch pour télécharger et exécuter une charge utile de l’étape suivante. Cette charge utile vérifie ensuite si le service de messagerie Telegram est installé sur le système des victimes. Si tel est le cas, il extrait trois exécutables de ses ressources.
Ces exécutables incluent un voleur d’informations qui prend les fichiers Telegram de l’ordinateur de la victime, vole des informations de l’application de gestion des mots de passe KeePass, télécharge tout fichier qui se termine par un ensemble d’extensions prédéfinies, enregistre les données du presse-papiers et prend des captures d’écran. Rampant Kitten utilise également des pages de phishing usurpant l’identité de Telegram.
La porte dérobée Android
Au cours de leur enquête, les chercheurs ont également découvert une application Android malveillante liée aux mêmes acteurs de la menace. L’application était censée être un service destiné à aider les Persans suédois à obtenir leur permis de conduire. Mais c’est un leurre. Une fois que les victimes téléchargent l’application, la porte dérobée vole leurs messages SMS et contourne la double authentification (2FA) en transférant tous les messages SMS contenant des codes 2FA vers un numéro de téléphone contrôlé par un attaquant.
L’une des fonctionnalités uniques de cette application malveillante est de transférer tout SMS commençant par le préfixe G- (le préfixe des codes d’authentification à deux facteurs de Google) vers un numéro de téléphone qu’il reçoit du serveur C2. Il convient de noter que l’application lance également une attaque de phishing ciblant les identifiants du compte Google (Gmail) des victimes. Il récupère également les données personnelles (comme les contacts et les détails du compte) et enregistre l’environnement du téléphone.
- Partager l'article :