S'inscrire

Cybersécurité - 16/11/2024

Des pirates iraniens déploient le malware WezRat dans des attaques visant des organisations israéliennes

Hacker utilisant un outil de cybersécurité

Des chercheurs en cybersécurité ont mis en lumière un nouveau cheval de Troie d’accès à distance et un voleur d’informations utilisé par des acteurs parrainés par l’État iranien pour effectuer une reconnaissance des points de terminaison compromis et exécuter des commandes malveillantes.

La société de cybersécurité Check Point a donné au malware le nom de code WezRat , affirmant qu’il avait été détecté dans la nature depuis au moins le 1er septembre 2023, sur la base d’artefacts téléchargés sur la plateforme VirusTotal.

« WezRat peut exécuter des commandes, prendre des captures d’écran, télécharger des fichiers, effectuer des enregistrements de frappe et voler le contenu du presse-papiers et des fichiers cookies », a-t-il déclaré dans un rapport technique. « Certaines fonctions sont exécutées par des modules distincts récupérés à partir du serveur de commande et de contrôle (C&C) sous la forme de fichiers DLL, ce qui rend le composant principal de la porte dérobée moins suspect. »

WezRat serait l’œuvre de Cotton Sandstorm, un groupe de hackers iranien plus connu sous les noms d’Emennet Pasargad et, plus récemment, d’Aria Sepehr Ayandehsazan (ASA).

Le malware a été documenté pour la première fois à la fin du mois dernier par les agences de cybersécurité américaines et israéliennes, le décrivant comme un « outil d’exploitation permettant de collecter des informations sur un point de terminaison et d’exécuter des commandes à distance ».

Les chaînes d’attaque, selon les autorités gouvernementales, impliquent l’utilisation d’installateurs Google Chrome trojanisés (« Google Chrome Installer.msi ») qui, en plus d’installer le navigateur Web Chrome légitime, sont configurés pour exécuter un deuxième binaire nommé « Updater.exe » (appelé en interne « bd.exe »).

L’exécutable contenant un logiciel malveillant, quant à lui, est conçu pour récolter des informations système et établir un contact avec un serveur de commande et de contrôle (C&C) (« connect.il-cert[.]net ») pour attendre de nouvelles instructions.

Check Point a déclaré avoir observé que WezRat était distribué à plusieurs organisations israéliennes dans le cadre d’e-mails de phishing se faisant passer pour la Direction nationale israélienne de la cybersécurité (INCD). Les e-mails, envoyés le 21 octobre 2024, provenaient de l’adresse e-mail « alert@il-cert[.]net » et exhortaient les destinataires à installer d’urgence une mise à jour de sécurité de Chrome.

« La porte dérobée est exécutée avec deux paramètres : connect.il-cert.net 8765, qui représente le serveur C&C, et un numéro utilisé comme « mot de passe » pour permettre l’exécution correcte de la porte dérobée », a déclaré Check Point, notant que fournir un mot de passe incorrect pourrait amener le malware à « exécuter une fonction incorrecte ou potentiellement à planter ».

Groupe parrainé par l'État iranien />

Les commandes prises en charge, qui sont exécutées sous la forme de fichiers DLL supplémentaires téléchargés à partir du serveur, permettent au logiciel malveillant d’ajouter un deuxième serveur C&C comme mécanisme de secours, de télécharger et de charger des fichiers, de capturer des captures d’écran, d’enregistrer les frappes au clavier, d’extraire le contenu du presse-papiers, de voler des cookies des navigateurs basés sur Chromium et d’exécuter des instructions via cmd.exe.

« Les premières versions de WezRat avaient des adresses de serveur C&C codées en dur et ne s’appuyaient pas sur l’argument « mot de passe » pour s’exécuter », a déclaré Check Point. « Au départ, WezRat fonctionnait davantage comme un simple cheval de Troie d’accès à distance avec des commandes de base. Au fil du temps, des fonctionnalités supplémentaires telles que des capacités de capture d’écran et un enregistreur de frappe ont été intégrées et traitées comme des commandes distinctes. »

En outre, l’analyse du malware et de son infrastructure back-end par l’entreprise suggère qu’au moins deux équipes différentes sont impliquées dans le développement de WezRat et de ses opérations.

« Le développement et le perfectionnement continus de WezRat indiquent un investissement dédié dans le maintien d’un outil polyvalent et évasif pour le cyberespionnage », conclut-il.

« Les activités d’Emennet Pasargad ciblent diverses entités aux États-Unis, en Europe et au Moyen-Orient, constituant une menace non seulement pour les adversaires politiques directs, mais également pour tout groupe ou individu ayant une influence sur le discours international ou national de l’Iran. »

Sujets récents