Une nouvelle campagne de logiciels malveillants nommée “GO#WEBBFUSCATOR” a été détectée par des chercheurs en sécurité qui propagent des logiciels malveillants à l’aide d’e-mails de phishing, de documents malveillants et d’images spatiales du télescope James Webb.
Un langage de programmation Golang a été utilisé pour écrire ce malware. Il s’agit d’un langage multiplateforme (Windows, Linux, Mac) et offre une plus grande résistance à l’ingénierie et à l’analyse de renversement, et s’avère donc très populaire parmi les cybercriminels.
Les pirates laissent tomber des charges utiles qui ne sont actuellement pas marquées comme malveillantes par les suites antivirus sur la plate-forme d’analyse VirusTotal, dans la récente campagne repérée par les analystes des menaces de Securonix.
Chaîne d’infection
Le processus d’infection par le logiciel malveillant commence par un e-mail de phishing contenant un document malveillant joint, “Geos-Rates.docx”, qui télécharge un fichier modèle.
Dans ce fichier, il y a une macro VBS obscurcie qui s’exécute automatiquement une fois les macros activées dans la suite Office. Après cela, le code a tendance à télécharger une image JPG
Ce fichier contient une macro VBS masquée qui s’exécute automatiquement si les macros sont activées dans la suite Office. Le code télécharge ensuite une image JPG (“OxB36F8GEEC634.jpg”) à partir d’une ressource distante (“xmlschemeformat[.]com”), la décode en un exécutable (“msdllupdate.exe”) à l’aide de certutil.exe et le lance.
Fonctions des logiciels malveillants
Dérivé de ce qui pourrait être découvert via une analyse dynamique des logiciels malveillants, l’exécutable crée une diligence en se copiant dans ‘%%localappdata%%\microsoft\vault\’ et en ajoutant une nouvelle clé de registre.
Une fois exécutée, l’infection établit une connexion DNS au serveur de commande et de contrôle (C2) et envoie des requêtes cryptées.
Securonix a expliqué dans le rapport “Les messages cryptés sont lus et non cryptés sur le serveur C2, révélant ainsi son contenu d’origine.”
Pour contrer le logiciel malveillant, le C2 peut définir des intervalles de temps entre les demandes de connexion, modifier le délai d’expiration de nslookup ou envoyer des commandes à exécuter via l’outil Windows cmd.exe.
Lors des tests, Securonix a observé que les cyber-escrocs exécutaient des commandes de liste aléatoire sur ses systèmes de test, une première étape d’exploration standard.
Les chercheurs ont noté que les domaines utilisés pour la campagne avaient été enregistrés récemment, le plus ancien le 29 mai 2022.
Un ensemble d’indicateurs de compromission (IoC) a été fourni par Securonix qui contient à la fois des indicateurs basés sur le réseau et sur l’hôte.