Une nouvelle campagne de cyberespionnage ciblant les utilisateurs de Google Drive et de Dropbox vient d’être découverte par Cybereason, société spécialisée dans la sécurité en ligne. Le groupe de hackers Molerats a été identifié comme auteur de cette malversation. Celle-ci utilise deux portes dérobées, appelées SharpStage et DropBook, ainsi que Molenet, un lanceur de logiciels malveillants jusqu'alors non référencé.
La campagne vise essentiellement des personnalités politiques ou des responsables gouvernementaux du Moyen-Orient, par le biais d'un courriel électronique les incitant à télécharger des documents confidentiels. Ces documents semblent légitimes mais leur contenu est tronqué. Pour obtenir la totalité des informations, la cible est alors invitée à ouvrir une archive protégée par un mot de passe depuis Dropbox ou Google Drive. Lorsqu’ils se connectent à ces services, Molerats est capable d'infecter les utilisateurs concernés avec les portes dérobées SharpStage et DropBook… qui peuvent ensuite télécharger des logiciels malveillants supplémentaires.
- Meilleurs antivirus 2020 : quelle solution gratuite, premium ou business choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN | VPN Jeux en ligne | VPN Télétravail | VPN gratuits
- Comment rester anonyme sur les réseaux sociaux ?
Le cloud computing dans le viseur
D’après l’analyse détaillée de l'équipe Cybereason, la porte dérobée DropBook basée sur Python ne reçoit des instructions que via Facebook et l'application bloc-notes Simplenote d'iOS. Les pirates peuvent alors contrôler la porte dérobée en utilisant des commandes publiées dans un message sur Facebook - Simplenote servant uniquement de sauvegarde.
Dans ce processus, DropBook vérifie les programmes et les noms de fichiers installés sur un système, exécute des commandes shell depuis Facebook ou Simplenote et de récupérer des charges utiles supplémentaires par le biais de Dropbox.
L'autre porte dérobée de Molerats, SharpStage, dépend d'un serveur de commande et de contrôle traditionnel. Bien que Cybereason ait découvert trois variantes de SharpStage, elles partagent toutes des fonctionnalités similaires, notamment la possibilité de réaliser des captures d'écran, d'exécuter des commandes arbitraires et de décompresser les données reçues du serveur de commande et de contrôle. Les deux portes dérobées sont utilisées pour cibler les utilisateurs arabophones, elles compromettent directement les machines sur lesquelles la langue arabe est installée.
Cybereason met également en garde contre la troisième arme de Molerats. MoleNet peut exécuter des commandes WMI pour profiler un système d'exploitation, vérifier la présence de débogueurs, redémarrer une machine à partir de lignes de commande, récupérer de nouvelles charges utiles et créer une persistance sur un système ciblé.
En utilisant des plates-formes de cloud computing populaires pour communiquer avec ses logiciels malveillants, le groupe Molerats a rendu ses tentatives d'espionnage beaucoup plus difficiles à détecter. Les lecteurs curieux peuvent consulter le rapport Molerats in the Cloud de Cybereason pour obtenir plus d'informations sur les récentes opérations de cette organisation, son infrastructure et son historique.
Via BleepingComputer
