Des chercheurs ont repéré une nouvelle campagne de logiciels malveillants dans la nature qui déploie un nouveau logiciel malveillant basé sur Rust sur des cibles azerbaïdjanaises. Bien qu'elle ne soit pas liée à un groupe connu d'acteurs de la menace, la campagne comprend tout de même quelques faux drapeaux, peut-être pour cacher les véritables acteurs de la menace qui se cachent derrière elle.
Un nouveau Logiciel malveillant Rust cible les utilisateurs azerbaïdjanais
Selon un post récent du Deep Instinct Threat Lab, leurs chercheurs ont trouvé une nouvelle campagne de logiciels malveillants avec une liste de victimes particulière.
L'analyse du logiciel malveillant a révélé qu'il s'agit d'une nouvelle menace écrite en langage de programmation rust et qu'elle cible spécifiquement les utilisateurs azerbaïdjanais.
En bref, l'attaque commence par un fichier .lnk qui se fait passer pour un fichier image en portant ” .jpg ” dans le nom du fichier. Là encore, les attaquants utilisent les paramètres par défaut de la plupart des systèmes d'exploitation pour masquer les extensions de noms de fichiers, de sorte que les victimes potentielles ne voient que “.jpg” dans le nom du fichier et cliquent dessus, considérant qu'il s'agit d'une image.
Dans l'échantillon analysé par les chercheurs, ce fichier portait le nom “1.KARABAKH.jpg.lnk”, ce qui pourrait indiquer que les attaquants ont tenté d'exploiter la situation politique récente pour inciter les victimes à cliquer sur le fichier.
Une fois le clic effectué, le fichier malveillant dépose un programme d'installation MSI qui implante un logiciel malveillant basé sur Rust aux côtés d'un fichier image leurre et d'un fichier XML pour l'exécution de l'implant.
Selon les chercheurs, le nouveau logiciel malveillant est écrit en langage Rust, que les pirates préfèrent en raison de sa complexité pour l'ingénierie inverse. Le logiciel malveillant effectue diverses activités malveillantes sur les systèmes cibles, recueille des informations sur le système et transmet les données au serveur des attaquants tout en évitant les environnements de bac à sable et d'analyse.
L'identité des acteurs de la menace reste floue
Les chercheurs n'ont pas pu relier la campagne malveillante à un acteur de menace connu. Cependant, ils ont observé l'utilisation dans cette campagne d'un document modifié que le groupe Storm-0978 avait utilisé. Néanmoins, ils considèrent qu'il s'agit d'un “faux drapeau” délibéré, et suggèrent également la possibilité que l'ensemble de l'activité soit un exercice de l'équipe rouge.
Quoi qu'il en soit, ce nouveau logiciel malveillant souligne la nécessité d'éviter d'interagir avec des fichiers/pièces jointes non sollicités afin d'éviter de telles menaces.
Fais-nous part de tes réflexions dans les commentaires.
