Nouvelle Adwind campagne cibles Windows, Linux et macOS

Computer Security News

Experts de ReversingLabs et Cisco Talos ont enregistré une nouvelle campagne de Adwind destinée à Windows, Linux et macOS systèmes.

Les échantillons utilisés dans la récente campagne de spam sont Adwind 3.0 Trojan (RAT), s’appuyant sur l’attaque d’injection de code Dynamic Data Exchange (DDE) sur Microsoft Excel.

Selon les chercheurs de la sécurité, les hackers principalement destinés aux utilisateurs en Turquie (75 %), et leurs autres victimes étaient membres de la communauté turque situé en Allemagne. [ ]
Tous les documents malveillants utilisés dans la campagne de Adwind ont été écrits en turc.

« Cette nouvelle campagne, découverte par ReversingLabs le 10 septembre, semble être une variante de l’attaque d’injection de code Dynamic Data Exchange (DDE) sur Microsoft Excel qui est apparue à l’état sauvage dans le passé. Cette fois, la variante est capable d’éviter d’être détectés par le logiciel anti-malware. ReversingLabs a écrit leur propre blog à ce sujet ici. » l’ analyse par les États de Cisco Talos.

Les compte-gouttes différentes au moins deux enregistrés chercheurs dans la campagne à l’aide de deux – les fichiers .csv ou .xlt, ouvert par défaut par Microsoft Excel. Les deux fichiers seraient tirer parti d’une nouvelle variante de l’attaque d’injection de code DDE qui est toujours pas détecté.

Le fichier dropper peut posséder plus de 30 différentes extensions de fichiers, même si certains d’entre eux ne sont pas ouverts par Excel par défaut. Néanmoins, les hackers peuvent utiliser un script lancer Excel avec un fichier portant une des extensions suivantes en tant que paramètre.

« Formats comme le CSV n’est pas un en-tête prédéfini, ainsi il peut contenir tout type de données au début. Avoir des données aléatoires, comme dans les échantillons que nous avons trouvé mon truc l’anti-virus en ignorer l’analyse des fichiers. Autres formats peuvent être considérés corrompus, comme ils ne suive pas le format attendu. » peut-on lire dans le rapport.

Excel affichera des avertissements différés à l’utilisateur concernant l’exécution du code. Le premier avertissement est lié à l’exécution d’un fichier corrompu et le second – avertit l’utilisateur que le document exécutera l’application « CMD.exe ». Dès que l’utilisateur accepte tous les avertissements, l’application malveillante est exécutée sur le système.

Selon Talos, les cyber-criminels visent à injecter du code qui aurait créer et exécuter un Script Visual Basic qui utilise le « bitasdmin » d’outil de Microsoft pour télécharger ou télécharger emplois et surveiller leurs progrès, pour obtenir la charge finale sous la forme d’une archive Java.

Le code Java est emballé avec la version de démonstration de la « emballeur commercial Allatori Obfuscator, version 4.7 et la charge finale est un échantillon de la Adwind RAT v3.0.

« La variante DDE utilisée par les compte-gouttes dans cette campagne est un bon exemple sur Comment antivirus de base de signature peuvent être dupés. C’est aussi un signe d’avertissement concernant l’extension de fichier des configurations de numérisation. »

« Ce type d’injection est connu pendant des années, toutefois cet acteur a trouvé un moyen de le modifier afin d’avoir une détection extrêmement faible ratio. « Talos dit.


Leave a Reply

Your email address will not be published. Required fields are marked *