Cette attaque combine l’ingénierie sociale et des outils Windows légitimes, ce qui rend l’activité difficile à identifier comme malveillante à première vue. Il est à noter que les pirates tentent d’introduire le logiciel malveillant via Microsoft Teams.
D’abord du spam, puis un « informaticien bien intentionné »
Selon les chercheurs de la société de sécurité BlueVoyant, l’attaque commence par une astuce simple mais efficace. Les victimes reçoivent d’abord une vague de spams dans leur boîte mail. Peu après, l’attaquant les contacte via Microsoft Teams en se faisant passer pour un membre du service informatique. Ce soi-disant informaticien propose son aide pour résoudre le problème de spam.
Au cours de cette conversation, on demande à la victime de lancer une session à distance via Quick Assist, un outil intégré à Microsoft Windows qui permet à une personne d’apporter une assistance à distance. Dès que l’attaquant accède au système, il installe une série d’outils qui finissent par activer le logiciel malveillant A0Backdoor.
Déguisé en logiciel Microsoft authentique
Les fichiers malveillants sont diffusés via des programmes d’installation MSI signés numériquement, stockés dans un compte cloud personnel Microsoft. Ces fichiers se font passer pour des composants de Microsoft Teams ou pour CrossDeviceService, un composant Windows légitime utilisé par l’application Phone Link.
Les pirates utilisent une technique connue sous le nom de « sideloading de DLL ». Dans ce cadre, un programme Microsoft légitime est lancé, mais celui-ci charge secrètement une bibliothèque malveillante, en l’occurrence un fichier hostfxr.dll altéré. Cette bibliothèque contient des données compressées ou chiffrées. Lorsqu’elle est chargée en mémoire, le code se déchiffre et lance le programme malveillant.
Une analyse compliquée
Les chercheurs ont remarqué que le logiciel malveillant utilise également la fonction CreateThread de Windows pour lancer un grand nombre de threads. Cela peut entraîner le blocage des outils d’analyse ou des débogueurs, même si cela n’a que peu d’impact lorsque le logiciel malveillant s’exécute normalement.
Le code malveillant vérifie d’abord s’il s’exécute dans un bac à sable, puis génère une clé à partir d’un hachage SHA-256. Celle-ci sert à déchiffrer la charge utile A0Backdoor proprement dite, qui est elle-même chiffrée à l’aide de l’algorithme AES. Le malware collecte ensuite des informations système via différentes API Windows, telles que des fonctions permettant de récupérer le nom de l’ordinateur et le nom d’utilisateur. Cela permet d’identifier le système avec précision.
Communication dissimulée via le DNS
La communication avec le serveur de commande et de contrôle s’effectue d’une manière assez inhabituelle : via le trafic DNS. Le logiciel malveillant envoie des requêtes DNS MX à des résolveurs publics, dans lesquelles des métadonnées sont dissimulées dans les sous-domaines. Le serveur répond par des enregistrements MX contenant des commandes cryptées. Comme de nombreux systèmes de sécurité se concentrent principalement sur d’autres formes de tunneling DNS, cette méthode peut plus facilement passer inaperçue.
BlueVoyant indique qu’au moins deux organisations ont été prises pour cible : un établissement financier au Canada et une organisation internationale de santé. Selon les chercheurs, cette campagne présente des similitudes évidentes avec les tactiques du célèbre groupe de ransomware BlackBasta. Ce groupe se serait récemment dissous après la fuite de journaux de discussion internes.
Cette campagne comporte toutefois également de nouveaux éléments, tels que l’utilisation de fichiers MSI signés numériquement, le nouveau logiciel malveillant A0Backdoor et la communication via des enregistrements DNS-MX. Pour l’instant, aucune institution européenne n’a été touchée, mais la vigilance reste de mise.
