Une nouvelle porte dérobée développée en Python a été découverte par des chercheurs en sécurité, utilisant un service de tunnel légitime comme pont pour extraire des identifiants. Le logiciel malveillant se propage via des fichiers malveillants et applique des techniques d'évasion pour contourner les antivirus. Une fois à l'intérieur, il établit des connexions chiffrées avec un serveur C2, rendant difficile le blocage de son trafic. Son objectif est de voler les mots de passe stockés dans les navigateurs comme Chrome et Firefox, ainsi que les accès aux plateformes cloud comme AWS et Azure.
Tunnels légitimes comme couverture pour le vol de données 🕳️
La porte dérobée utilise un service de tunnel légitime pour masquer son trafic de commande et de contrôle, ce qui complique la détection par les systèmes de sécurité périmétrique. Écrite en Python, elle utilise des bibliothèques standard pour interagir avec le système d'exploitation, extraire les données des coffres de mots de passe des navigateurs et collecter les identifiants des services cloud via des API. Sa conception modulaire permet de mettre à jour les modules de vol sans modifier le noyau du logiciel malveillant. Les chercheurs signalent que sa capacité d'évasion inclut des vérifications de sandbox et des retards d'exécution pour éviter les analyses automatisées.
Les cybercriminels savent aussi utiliser les VPN, mais pour voler 🦹
Il semble que même les méchants se soient modernisés et utilisent désormais des tunnels VPN comme n'importe quel employé de bureau qui veut regarder Netflix depuis son travail. La différence est qu'ils ne cherchent pas des séries, mais vos mots de passe AWS et Azure. Le plus triste est que le service de tunnel est complètement légal et légitime, donc nous ne pouvons même pas blâmer l'outil. C'est comme si un voleur utilisait un Uber pour arriver chez vous : la voiture n'est pas en faute, mais le trajet reste suspect.