Une nouvelle campagne de logiciels malveillants a été observée utilisant des fichiers de configuration OpenBullet malveillants pour cibler des cybercriminels inexpérimentés dans le but de fournir un cheval de Troie d’accès à distance (RAT) capable de voler des informations sensibles.
La société d’atténuation des bots Kasada a déclaré que l’activité est conçue pour « exploiter des réseaux criminels de confiance », la décrivant comme un exemple d’acteurs de menace avancés « s’attaquant aux pirates débutants ».
OpenBullet est un outil de test de stylet open source légitime utilisé pour automatiser les attaques de credential stuffing. Il prend en charge un fichier de configuration adapté à un site Web spécifique et peut le combiner avec une liste de mots de passe obtenue par d’autres moyens pour enregistrer les tentatives réussies.
« OpenBullet peut être utilisé avec Puppeteer, qui est un navigateur sans tête qui peut être utilisé pour automatiser les interactions Web », a déclaré la société. « Cela permet de lancer très facilement des attaques de bourrage d’informations d’identification sans avoir à faire face à l’apparition de fenêtres de navigateur. »
Les configurations, essentiellement un morceau de code exécutable pour générer des requêtes HTTP contre le site Web ou l’application Web cible, sont également échangées ou vendues au sein de communautés criminelles, abaissant la barre des activités criminelles et permettant aux script kiddies de monter leurs propres attaques.
« L’intérêt pour l’achat de configurations, par exemple, pourrait indiquer que les utilisateurs d’OpenBullet sont relativement peu sophistiqués », a noté la société israélienne de cybersécurité Cybersixgill en septembre 2021.
« Mais cela pourrait aussi être un autre exemple de la division du travail très efficace du dark web. C’est-à-dire que les acteurs de la menace annoncent qu’ils veulent acheter des configurations parce qu’ils ne savent pas comment les scripter, mais parce que c’est plus facile et plus rapide. »
Cette flexibilité peut également être une épée à double tranchant, car elle ouvre un nouveau vecteur, seulement elle cible d’autres acteurs criminels qui recherchent activement de tels fichiers de configuration sur les forums de piratage.
La campagne découverte par Kasada utilise des configurations malveillantes partagées sur un canal Telegram pour atteindre un référentiel GitHub afin de récupérer un compte-gouttes basé sur Rust appelé Ocean, conçu pour récupérer la charge utile de l’étape suivante à partir du même référentiel.
L’exécutable, un logiciel malveillant basé sur Python appelé Patent, lance finalement un cheval de Troie d’accès à distance qui utilise Telegram comme mécanisme de commande et de contrôle (C2) et émet des instructions pour capturer des captures d’écran, répertorier le contenu du répertoire, terminer des tâches, exfiltrer le portefeuille crypto. informations et voler les mots de passe et les cookies des navigateurs Web basés sur Chromium.
Les navigateurs et portefeuilles cryptographiques ciblés incluent Brave, Google Chrome, Microsoft Edge, Opera, Opera GX, Opera Crypto, Yandex Browser, Atomic, Dash Core, Electron Cash, Electrum, Electrum-LTC, Ethereum Wallet, Exodus, Jaxx Liberty, Litecoin Wallet, et Mincoin.
Le cheval de Troie fonctionne également comme un clipper pour surveiller le presse-papiers pour les adresses de portefeuille de crypto-monnaie et remplacer le contenu correspondant à une expression régulière prédéfinie par une adresse contrôlée par l’acteur, entraînant des transferts de fonds non autorisés.
Deux des adresses de portefeuille Bitcoin exploitées par l’adversaire ont reçu un total de 1 703,15 $ au cours des deux derniers mois, qui ont ensuite été blanchis à l’aide d’un échange crypto anonyme connu sous le nom de Fixed Float.
« La distribution des configurations OpenBullet malveillantes dans Telegram est un nouveau vecteur d’infection, ciblant probablement ces communautés criminelles en raison de leur utilisation fréquente des crypto-monnaies », ont déclaré les chercheurs.
« Cela offre une opportunité aux attaquants d’adapter leur collection à un groupe cible spécifique et d’obtenir les fonds, les comptes ou l’accès d’autres membres. Comme le dit le vieil adage, il n’y a pas d’honneur parmi les voleurs. »
