PiChris - Fotolia

Wi-Fi : le retour de la faille hôtelière

Connu pour viser des profils à forte valeur ajoutée, le groupe DarkHotel semble faire évoluer ses tactiques pour tenir compte de la sophistication croissante des défenses. Et cela passe par l’ingénierie sociale.

C’était fin 2014. Kaspersky levait le voile sur une opération ciblée mettant à profit hôtels et centres d’affaires pour infecter les ordinateurs des voyageurs choisis avec soin. L’opération était le fait du groupe DarkHotel et démontrait une volonté d’efficacité prononcée. L’éditeur russe expliquait alors que « la première vague de logiciel malveillant aide les attaquants à identifier les victimes les plus significatives, conduisant au téléchargement sélectif d’outils plus avancés » de vol de données. Dans les hôtels, ces installations étaient « distribuées sélectivement à des personnes ciblées ». Ce qui semblait indiquer que les attaquants étaient en mesure de savoir, « à l’avance quand ces individus vont arriver et quitter leurs hôtels haut de gamme ». La cible ? Des cadres dirigeants ou encore des entrepreneurs.

Aujourd’hui, Bitdefender vient de se pencher sur une nouvelle campagne de DarkHotel, se basant sur l’examen d’échantillons remontant au moins de septembre dernier, mais présentant des similitudes importantes avec d’autres « présents depuis 2011 ». Baptisée Inexsmar, la campagne semble s’appuyer sur « l’ingénierie sociale » pour déployer un « cheval de Troie relativement complexe pour infecter son groupe de victimes ciblé ».

Tout part ainsi de hameçonnage ciblé, avec un courriel contenant une pièce jointe malveillante : une archive capable de s’auto-extraire prenant la forme d’un fichier nommé winword.exe. Ce téléchargeur de départ lance plusieurs vérifications et, si elles sont effectuées avec succès, engage la communication avec son centre de commande et de contrôle et ouvre un fichier leurre se présentant comme une liste de contacts à Pyongyang.

Des informations relatives au système cible sont transmises au serveur de commande de commande et de contrôle, dans une requête http. Les opérateurs semblent en mesure de décider de poursuivre ou non l’attaque. Dans le premier cas, le téléchargeur de départ récupère une nouvelle charge utile malveillante. Son originalité ? « Sa capacité à cacher le code malicieux dans un binaire OpenSSL légitime ». Et cela en « liant statiquement » ce code à celui d’une bibliothèque « sans aucun rapport ». Enfin, pour télécharger la seconde charge utile, le logiciel malveillant détourne un processus légitime de Windows.

Pour Bitdefender, cette nouvelle approche de DarkHotel marque une « évolution » de l’arsenal du groupe pour s’assurer qu’il reste efficace « alors que les défenses de ses victimes s’améliorent ». 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close