Des pirates informatiques parrainés par l'État iranien déploient une porte dérobée mise à jour visant apparemment des chercheurs universitaires israéliens qui s'intéressent à l'Irak.
Un acteur national iranien, souvent appelé Educated Manticore, a été associé à une nouvelle vague d'attaques par hameçonnage qui utilisent cette nouvelle version d'un logiciel malveillant ciblant Israël et conçu pour déployer une version mise à jour d'une porte dérobée Windows appelée PowerLess.
D'autres chercheurs ont relié PowerLess à un acteur iranien connu sous le nom de Phosphorus, également repéré sous les noms de Charming Kitten et APT35. Ce groupe a déjà ciblé des universitaires spécialisés dans la théocratie chiite fondamentaliste.
Comme beaucoup d'autres acteurs, Educated Manticore a adopté les tendances récentes et a commencé à utiliser des images ISO et peut-être d'autres fichiers d'archive pour initier des chaînes d'infection. Dans le rapport, nous révélons des leurres sur le thème de l'Irak, très probablement utilisés pour cibler des entités en Israël.
Cette nouvelle forme d'attaque a été remarquée pour la première fois en janvier, lorsque deux personnes ayant une adresse IP israélienne ont soumis le fichier malveillant à VirusTotal, une base de données qui traque les virus informatiques.
Le fichier est un fichier ISO appelé “Iraq development resources” contenant un grand nombre de fichiers, notamment des PDF en arabe, en anglais et en hébreu contenant des contenus académiques sur l'Irak.
Le fichier ISO contient trois dossiers, l'un avec un Jpeg nommé “zoom.jpg”, un autre contenant les PDF et d'autres fichiers connexes et un autre contenant les mêmes fichiers cryptés.
Un autre fichier nommé “Iraq development resources” comporte un symbole indiquant qu'il s'agit d'un dossier, mais il s'agit en fait d'un fichier exécutable (.exe) qui lance le logiciel malveillant proprement dit lorsqu'on clique dessus.
Une fois le fichier .exe cliqué, il décrypte et exécute un téléchargeur à partir du fichier zoom.jpg. Le fichier .exe est rempli de code indésirable afin de tromper les utilisateurs et les logiciels antivirus. Le téléchargeur est également rempli de code indésirable et télécharge un logiciel malveillant appelé “PowerLess” qui sert de porte dérobée aux pirates pour accéder à l'ordinateur affecté.
La porte dérobée PowerLess, précédemment trouvée par Cyberreason en février 2022, est dotée de capacités permettant de voler des données dans les navigateurs web et les applis comme Telegram, de faire des captures d'écran, d'enregistrer du son et d'enregistrer les frappes au clavier.
Ce développement indique que l'adversaire affine et réoutille en permanence son arsenal de logiciels malveillants pour étendre leurs fonctionnalités et résister aux efforts d'analyse, tout en adoptant des méthodes améliorées pour échapper à la détection.
jpost.com
thehackernews.com
infosecurity-magazine.com
research.checkpoint.com
bankinfosecurity.com
timesofisrael.com
csoonline.com
