Découverte d’un nouveau malware s’appuyant sur Facebook, Google et d’autres plateformes cloud

La société de cybersécurité Cybereason a découvert un nouveau malware qui s’appuie sur Facebook, Google Drive et Dropbox pour la communication de commande et de contrôle. Le groupe de hackers Molerats est à l’origine de la nouvelle campagne qui utilise deux nouvelles portes dérobées, SharpStage et DropBook, ainsi qu’un téléchargeur de logiciels malveillants précédemment non documenté nommé MoleNet pour abuser des services de cloud computing populaires.

Conçu pour éviter la détection

Le malware est conçu pour éviter la détection en utilisant les services Dropbox et Facebook pour voler des données et recevoir des instructions de ses opérateurs. Une fois les données volées aux utilisateurs ciblés, les deux portes dérobées utilisent ensuite Dropbox pour les extraire.

Selon un nouveau rapport de l’équipe Nocturnus de Cybereason, la porte dérobée DropBook basée sur Phyton ne reçoit des instructions que sur Facebook et de l’application de prise de notes iOS Simplenote. Les hackers peuvent alors contrôler la porte dérobée à l’aide de commandes publiées dans un post sur Facebook avec Simplenote servant de sauvegarde.

DropBook est capable de vérifier les programmes installés et les noms de fichiers d’un système. Il peut exécuter des commandes shell depuis Facebook ou Simplenote et de récupérer des charges utiles supplémentaires depuis Dropbox. L’autre porte dérobée SharpStage de Molerats dépend d’un serveur de commande et de contrôle traditionnel plutôt que d’utiliser des services cloud pour les instructions.

Plusieurs variantes avec des fonctionnalités similaires

Cybereason a découvert trois variantes de SharpStage. Elles partagent toutes des fonctionnalités similaires, notamment la possibilité de prendre des captures d’écran, d’exécuter des commandes arbitraires et de décompresser les données reçues du serveur de commande et de contrôle. Les deux portes dérobées sont utilisées pour cibler les utilisateurs arabophones et leur code peut vérifier les machines compromises pour voir si la langue arabe est installée.

La société de cybersécurité a également constaté que Molerats utilise un autre malware appelé MoleNet qui peut exécuter des commandes WMI pour profiler un système d’exploitation. Il peut aussi rechercher des débogueurs, redémarrer une machine à partir de la ligne de commande, télécharger des détails sur le système d’exploitation, récupérer de nouvelles charges utiles et créer une persistance sur un système ciblé.

Mode opératoire

La campagne cible des personnalités politiques ou des représentants du gouvernement du Moyen-Orient avec un e-mail les incitant à télécharger des documents malveillants. Cependant, le document n’affiche qu’un résumé de son contenu. Les destinataires sont ensuite invités à télécharger des archives protégées par mot de passe stockées dans Dropbox ou Google Drive pour voir toutes les informations. 

C’est ainsi que Molerats infecte les utilisateurs avec ses portes dérobées SharpStage et DropBook qui peuvent ensuite télécharger des logiciels malveillants supplémentaires. En utilisant des plateformes cloud populaires pour communiquer avec ses logiciels malveillants, le groupe Molerats a rendu ses tentatives d’espionnage beaucoup plus difficiles à détecter. N’hésitez pas à protéger  vos appareils avec le meilleur logiciel antivirus. 

Pin It on Pinterest