Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android

Les nouvelles concernant les malwares continuent de pleuvoir. Aujourd’hui, nous allons examiner brièvement trois types d’attaques : une attaque qui exploite les plateformes Meta pour distribuer un malware de type RAT sur les systèmes Android, une technique appelée Bring Your Own Vulnerable Driver (BYOVD) visant les utilisateurs Windows, et une méthode avancée de phishing en plusieurs étapes utilisée par un groupe de cybercriminels bien connu basé en Russie.

Le malvertising sur Meta cible les systèmes Android

Type : RAT, spyware

Malware : Brokewell

Propagation : Malvertising

Vecteur : Environnements Meta

Cible : Systèmes Android

Actif depuis : juillet 2024

Des acteurs malveillants utiliseraient apparemment la publicité malveillante sur les plateformes Meta pour propager de faux logiciels. Les annonces promettent une application TradingView Premium gratuite, mais la victime installe en réalité une version du spyware et cheval de Troie d’accès à distance (RAT) Brokewell.

Comme détaillé dans cet article de BleepingComputer, Brokewell recourt à divers moyens pour fournir une porte dérobée d’accès à distance, tout en enregistrant l’activité et en cherchant à voler des données sensibles, avec un accent particulier sur les données financières et les données liées aux cryptomonnaies.

Bring Your Own Vulnerable Driver (BYOVD)

Type : RAT

Malware : ValleyRAT

Propagation : pilotes WatchDog Antimalware signés par Microsoft mais vulnérables

Groupe de menace : Silver Fox

Cible : Microsoft Windows 7 à 11

Selon SC Media, le groupe cybercriminel Silver Fox a utilisé une technique d’attaque BYOVD pour infecter des systèmes Windows avec le cheval de Troie d’accès à distance ValleyRAT.

Le BYOVD consiste à charger volontairement un pilote comportant une vulnérabilité connue, dans ce cas un pilote WatchDog Antimalware signé par Microsoft (ou un pilote Zemana pour les machines sous Windows 7). Ces pilotes n’étaient pas listés dans la Liste de blocage des pilotes vulnérables de Microsoft.

Étant donné que les pilotes sont installés avec un accès de niveau 0, les pirates peuvent ensuite installer le cheval de Troie d’accès à distance ValleyRAT sans être détectés, obtenant ainsi le contrôle total du système infecté.

Pour une analyse technique complète, consultez cet article de The Hacker News.

BlackBasta utilise des techniques de phishing avancées pour installer des malwares

Type : divers

Malware : Zbot, DarkGate, malware personnalisé

Propagation : techniques d'hameçonnage innovantes

À la fin de l’année dernière, le groupe de menaces Black Basta a commencé à utiliser une nouvelle technique de phishing pour inciter les victimes à installer des malwares sur leur système.

Les cibles sont d’abord bombardées d’emails, donnant l’impression qu’une cyberattaque est en cours. Ensuite, les pirates contactent la cible via Microsoft Teams, en se faisant passer pour le support informatique de l’entreprise.

Une fois la conversation acceptée, la victime est piégée et incitée à installer divers malwares. En général, un collecteur d’identifiants commence par dérober les identifiants de la victime, puis le malware installe un chargeur tel que Zbot, Zloader ou DarkGate.