Les chercheurs en sécurité ont découvert une nouvelle attaque malveillante qui implique des exploits bien connus dans le but de contourner les solutions de sécurité. La campagne se répand stealers d'information, ou des morceaux de logiciels espions sophistiqués. Plus précisement, les attaquants diffusent une information de vol de sophistiqué cheval de Troie connu sous le nom d'agent Tesla, ainsi que les informations Loki stealer.
Campagnes malveillantes de l'agent Tesla – Mise à jour Août 2019
Selon de nouvelles données, le malware Agent Tesla est employant actuellement la stéganographie dans ses dernières campagnes de malspam. La stéganographie est la pratique consistant à dissimuler un dossier, message, image, ou vidéo dans un autre fichier, message, image, ou vidéo. En fait, la stéganographie est une vieille astuce dans la distribution de logiciels malveillants, et cela signifie littéralement cacher le code dans une image normale qui, dans la plupart des cas, peut ne pas être vérifiée pour les logiciels malveillants.
Détails techniques sur l'attaque sophistiquée, La détection soustrait à la signification
Les chercheurs en sécurité chez Cisco Talos détecté "un document très suspect qui n'a pas été repris par les solutions antivirus communes".
Les attaquants derrière cette nouvelle forme d'attaque ont déployé un bien connu chaîne exploit. Cependant, elle a été modifiée de telle sorte qu'elle passe inaperçue par les solutions de sécurité.
La Agent Tesla cheval de Troie est conçu pour dérober des informations de connexion de plusieurs logiciels, tels que Google Chrome, Mozilla Firefox, Microsoft Outlook, parmi d'autres. Le cheval de Troie peut également capturer des captures d'écran, webcams record, et permettent aux pirates d'installer des logiciels malveillants supplémentaires sur les systèmes infectés, les chercheurs.
Le cheval de Troie est également capable d'effectuer d'autres activités malveillantes telles que la surveillance et la collecte des entrées du clavier, Presse-papiers, prendre des screenshots, et exfiltration recueilli de l'information sensible. Cependant, Tesla agent n'est pas le seul morceau de logiciels malveillants distribués dans cette campagne - Loki, une autre information stealer, est également tombé sur les machines des victimes.
Deux Microsoft Word Exploits Abused: CVE-2017-0199 et CVE-2017-11882
En ce qui concerne les exploits qui sont utilisés par les adversaires – deux exploits publics pour les vulnérabilités Microsoft Word CVE-2017-0199 et CVE-2017-11882 sont utilisés dans le scénario d'attaque malveillante.
Le CVE-2017-0199 exploit, en particulier, était utilisés dans des attaques en 2017 lorsque les acteurs de la menace abusé des fichiers Microsoft Office qui pour fournir plusieurs souches de logiciels malveillants. La seule chose au sujet des incidents est qu'ils ont utilisé une nouvelle stratégie en exploitant une fonctionnalité relativement nouvelle qui a été intégrée dans la suite Microsoft Office de l'année dernière.
CVE-2017-11882 est un autre Microsoft Office bien connu exploit qui a été détecté dans les campagnes malveillantes en Septembre de cette année, qui livraient la CobInt cheval de Troie.
Le fichier .docx et le fichier RTF
La campagne actuelle, découvert et analysé par Cisco Talos, commence par le téléchargement d'un Microsoft malveillant .DOCX. Le fichier contient des instructions pour télécharger un particulier fichier RTF du document. Ceci est l'activité qui est détectée par les produits antivirus.
Selon les chercheurs:
Au moment où le dossier a été analysé, il avait presque pas sur le site Web de détection de l'analyse antivirus multi-moteur VirusTotal. Seulement deux 58 programmes antivirus trouvé quelque chose de suspect. Les programmes qui ont été marqués cet échantillon seul avertissement au sujet d'un fichier RTF formaté à tort.
Le Rich Text Format, ou RTF pour court, est un format de fichier de document exclusif aux spécifications publiées développé par Microsoft Corporation de 1987 jusqu'à 2008 pour l'échange de documents multi-plateforme avec les produits Microsoft.
Les fichiers RTF ne prennent pas en charge une langue macro, mais ils prennent en charge Microsoft Linking objet et Embedding (NO) des objets et des objets d'abonnés Macintosh Edition Manager via l' « objet ’ mot de commande. L'utilisateur peut lier ou incorporer un objet à partir du format identique ou différent dans le document RTF.
En d'autres termes, il est possible pour les utilisateurs de lier ou des objets dans le fichier Embed RTF, mais obscurcissement doit être ajouté. Il convient également de noter que tout ce que le fichier RTF ne reconnaît pas est généralement ignoré.
Les chercheurs ne sont pas en mesure de comprendre complètement comment l'acteur menace a changé l'exploit manuellement, ou s'ils ont utilisé un outil pour produire le shellcode. “D'une manière ou d'une autre, cela montre que l'acteur ou leurs outils ont [la] possibilité de modifier le code assembleur de telle sorte que les octets d'opcode résultant complètement différentes, mais encore exploiter la même vulnérabilité.”
Les experts en sécurité attendent également de voir cette nouvelle technique inclus dans d'autres campagnes malveillantes fournissant d'autres souches de logiciels malveillants.