Betabot était un cheval de Troie « classique » destiné à subtiliser les informations des victimes jusqu’à ce que les développeurs derrière le logiciel malveillant ne décident de lui ajouter une fonctionnalité supplémentaire : la capacité d’infecter les ordinateurs compromis du ransomware Cerber. Avant d’en arriver là, le logiciel malveillant, qui est présent depuis 2013 dans le cyberespace, infectait ses victimes en se servant du kit d’exploit Neutrino. Vers la fin du mois de juillet, l’équipe derrière le logiciel malveillant a changé sa méthodologie d’attaque et s’est orientée vers des campagnes de spam avec des pièces jointes qui contenaient un document Word modifié pour contenir des scripts macro de Betabot. Si l’utilisateur activait le support des macros dans Microsoft Office, les scripts allaient alors lancer le téléchargement et l’installation de Betabot.
C’est ce qu’expliquent les chercheurs d’Invincea qui ont assuré que Betabot se sert de pièces jointes comme vecteur d’attaque d’une campagne malveillante dont les victimes se comptent par milliers. « Les documents armés sont reçus dans la messagerie de la victime comme étant des CV, demandant aux victimes d’activer des macros. Une fois que les macros sont activées, le logiciel malveillant va s’assurer qu’il ne se trouve pas dans une machine virtuelle ou dans un bac à sable et va par la suite subtiliser tous les mots de passe sauvegardés en local sur tous les navigateurs. Une fois que les mots de passe sont volés, le périphérique n’est plus d’aucune utilité pour le Betabot. Aussi, dans une tentative de produire plus de cash que les 185 dollars sont susceptibles de lui rapporter, il télécharge et exécute le ransomware Cerber ».
Les chercheurs avancent que « c’est la première fois qu’un logiciel malveillant de vol de données, transmis via des documents, fait appel à un ransomware dans une attaque secondaire. Cela représente une évolution dans la maximisation des profits d’un dispositif infecté, qui s’avère bien plus effectif que le fait de se servir de plusieurs techniques d’attaques ».
Les personnes infectées par le ransomware Cerber sont en général invitées à payer un bitcoin pour obtenir la clé de déchiffrement qui va leur permettre de récupérer leurs fichiers. La vente de mots de passe dans le dark web pouvait rapporter 185 dollars aux pirates. Mais en associant Cerber à Betabot, ils veulent s’assurer de se faire une marge de profits plus importante (un bitcoin est équivalent à 574 dollars à l’instant de l’écriture de ces lignes, l’opération avec Cerber s’avère donc être trois fois plus lucrative que la vente des données volées).
Source : Invincea
