Jaruwan photo - stock.adobe.com
Cryptojacking, infostealer : une campagne protéiforme contre les entreprises françaises
Une campagne malveillante visant les services RH des entreprises françaises rappelle la menace de cleptogiciels, mais également celle du trop souvent oublié cryptojacking.
La campagne dite FAUX#ELEVATE illustre une évolution originale, fusionnant le vol d'identifiants et le cryptojacking en une seule chaîne d'infection.
L'attaque débute par une opération de phishing ciblée, utilisant des documents de candidature falsifiés nommés nouveau_curriculum_vitae.vbs. Une fois exécutée, la charge utile met en œuvre une stratégie sophistiquée d'évitement. Comme le soulignent les chercheurs de Securonix, l'utilisation d'outils légitimes et de services de confiance tout au long de la chaîne d'infection démontre une stratégie délibérée de Living-off-the-Land qui rend la détection nettement plus difficile.
Cette approche repose sur un niveau élevé de maquillage du code malveillant. Le script initial contient plus de 99 % de lignes de commentaires non exécutables, masquant un code réel minimaliste qui contourne les analyses statiques. La détection est en outre rendue encore plus complexe par l'usage de techniques de contournement dynamiques.
L'attaquant cible spécifiquement les environnements d'entreprise en intégrant une vérification WMI (Win32_ComputerSystem.PartOfDomain). Cette fonctionnalité agit comme un verrouillage de domaine, assurant que les charges utiles ne sont déployés que sur des machines connectées à un domaine, excluant ainsi les systèmes domestiques et maximisant la valeur des cibles.
Le déploiement de la charge utile est hybride et efficace. Le module de cleptogiciel utilise l'outil ChromElevator pour contourner le chiffrement App-Bound Encryption (ABE) des navigateurs Chromium et récupérer les identifiants sans nécessiter de privilèges administratifs.
Parallèlement, un mineur de Monero (XMR) est déployé, utilisant des pools de minage tels que pool-fr.supportxmr[.]com, dont les adresses IP, chez OVH, sont signalées sur des plateformes de renseignement comme MalwareBazaar.
Cette dualité fonctionnelle permet aux attaquants de générer un revenu passif tout en collectant des données sensibles, rendant l'impact de l'attaque difficile à percevoir pour la victime qui continue de travailler normalement.
Une infrastructure complexe et une stratégie de furtivité opérationnelle
La résilience et la furtivité de cette campagne reposent sur une infrastructure distribuée et l'usage de services tiers légitimes. Les attaquants utilisent des sites WordPress compromis au Maroc pour héberger leurs configurations et des services de stockage cloud comme Dropbox pour l'hébergement des charges utiles, exploitant ainsi la confiance inhérente à ces plateformes pour passer inaperçus. La communication de commande et de contrôle (C2) est maintenue via des canaux sécurisés. Selon l'analyse, l'attaquant se cache derrière un fournisseur VPN suédois pour rester anonyme. Le point de présence correspondant écoute sur le port 7077 et reçoit des balises persistantes depuis le processus injecté explorer.exe, servant de canal de commande temps réel pour le composant RAT.
Les identifiants volés et les fichiers extraits sont transmis via le protocole SMTP en utilisant les serveurs de mail.ru, avec des sujets d'email balisés par le code pays de la victime et le type de données, permettant à l'attaquant de trier les données volées géographiquement.
Conséquences métier et recommandations stratégiques
L'impact de cette campagne dépasse la simple perte de ressources. Le cryptojacking, bien que souvent éclipsé par les ransomwares, représente une menace sérieuse et persistante. Les conséquences sur l'infrastructure incluent une usure matérielle accélérée, des pertes de performance critiques et une dégradation de la continuité d'activité, souvent sans notification immédiate pour les équipes techniques.
Mais la frontière entre le vol de données et le minage est floue, et ce n'est pas nouveau. Déjà en 2021, la question pouvait se poser à l'occasion de certains incidents. Car le vecteur d’entrée peut être aussi comparable à celui d’une attaque débouchant sur un ransomware. De quoi s’interroger en fait sur l’identité et la motivation des attaquants.
La question est ouverte : se sont-ils lancés dans le cryptojacking afin de rentabiliser leur intrusion initiale avant d’avoir le temps de déclencher une charge de rançongiciel et de gérer une négociation ? Ou bien pensaient-ils ne pas pouvoir soutirer grand-chose à leur victime sous forme de rançon et ont préféré tenter leur chance en minant du cryptocash ?
Face à ces risques, les mesures de protection doivent être diversifiées. La sensibilisation est nécessaire - au-delà des seules pièces jointes et liens malveillants dans les mails - de même que la généralisation de l'authentification facteurs multiples (MFA) et l'adoption de gestionnaires de mots de passe.
