Une nouvelle campagne de spam délivrant le RAT de l'ozone a été détecté ciblant les utilisateurs germanophones. L'attaque se propage via des documents Office malveillants. Cependant, à la place du malware macro bien connu, l'opération se termine par la mise en place de l'ozone.
Intéressant, les utilisateurs ne sont pas invités à activer les macros dans des documents Word, mais sont plutôt « invités » » à double-cliquez sur une image miniature qui exécute éventuellement JavaScript malveillant. Ceci est une technique ancienne qui n'a pas été utilisée dans un certain temps maintenant.
Un examen plus attentif dans l'ozone RAT campagne de spam
Des chercheurs de Fortinet ont rapporté que l'objet du courriel contient des informations de facturation “Câble” service, et la pièce jointe contient un document Microsoft Word. Inutile de dire, ni de ceux qui ont rien à voir avec un véritable service de câble.
Comme déjà dit, joint au document est un JavaScript avec une petite miniature de ce qui est présenté comme la facture de câble de la victime. L'image est livré avec l'instruction classique double-cliquez dessus pour voir en taille réelle. Si la victime potentielle est dupé en faisant, un code JavaScript malveillant sera exécuté, et l'étape suivante dans la chaîne d'infection sera déclenchée.
Le code JavaScript malveillant commence à installer un faux certificat SSL, et établit des procurations sur IE, Chrome, et les navigateurs Mozilla à un Proxy Auto Config à distance (PAC) fichier. L'adresse au fichier PAC est une URL TOR (un outil qui permet aux gens de communiquer de manière anonyme sur Internet) qui est choisi au hasard à partir de sa configuration codée en dur.
Un autre composant pas si typique de l'attaque est l'hébergement du fichier malveillant PAC sur une URL Tor via un service proxy Tor2Web tels que l'oignon(.)à.
La dernière étape de l'ensemble du scénario est l'installation d'une copie de la RAT de l'ozone. La RAT a d'abord été détecté il y a plus d'un an. Actuellement, il est vendu en ligne pour le prix de $20 pour un paquet standard et $50 pour un paquet de platine.
Pourquoi l'opération effectuée?
L'objectif final de cybercriminels est connecter à la copie locale installée sur le système de la victime et la recherche d'informations sensibles. Ce n'est pas surprenant comme un ensemble de composants d'espionnage sont annoncés pour faire partie du cheval de Troie, tel qu'un enregistreur de frappe, un mot de passe dumper, une routine de démarrage caché, la possibilité de cacher son processus, la possibilité de télécharger et d'exécuter d'autres fichiers, et une fonctionnalité de bureau à distance.
“Avec des applications RAT comme l'ozone, on n'a pas besoin d'être un expert pour créer et distribuer des logiciels malveillants. Tout le monde peut acheter l'ozone à partir de leurs sites, ou simplement télécharger les versions « modifiées », comme ce que nous avons utilisé dans nos tests pour cet article“, chercheurs Fortinetconclure.