Les pirates ciblent d’autres pirates en infectant leurs outils avec des logiciels malveillants

Une campagne de logiciels malveillants récemment découverte suggère que les pirates informatiques sont eux-mêmes devenus la cible d’autres pirates informatiques, qui infectent et reconditionnent les outils de piratage populaires avec des logiciels malveillants.

Cybereason’s Amit Serper a constaté que les attaquants de cette campagne de plusieurs années utilisent les outils de piratage existants – dont certains sont conçus pour exfiltrer les données d’une base de données vers des fissures et des générateurs de clés de produit qui déverrouillent des versions complètes du logiciel d’essai – et injectent une puissante télécommande – accéder au cheval de Troie. Lorsque les outils sont ouverts, les pirates ont un accès complet à l’ordinateur de la cible.

Serper a déclaré que les attaquants «appâtaient» d’autres pirates en publiant les outils reconditionnés sur des forums de piratage.

Mais ce n’est pas seulement un cas de pirates ciblant d’autres pirates, a déclaré Serper à TechCrunch. Ces outils malicieusement reconditionnés ouvrent non seulement une porte dérobée aux systèmes du pirate informatique, mais également tout système que le pirate informatique a déjà violé.

«Si des pirates ciblent vous ou votre entreprise et utilisent ces outils de Troie, cela signifie que quiconque pirate les pirates aura également accès à vos actifs», a déclaré Serper.

Cela inclut des chercheurs en sécurité offensifs travaillant sur des engagements de l’équipe rouge, a-t-il déclaré.

Serper a découvert que ces attaquants encore inconnus injectent et reconditionnent les outils de piratage avec njRat, un puissant cheval de Troie, qui donne à l’attaquant un accès complet au bureau de la cible, y compris les fichiers, les mots de passe et même l’accès à sa webcam et son microphone. Le cheval de Troie remonte au moins à 2013, lorsqu’il était fréquemment utilisé contre des cibles au Moyen-Orient. njRat se propage souvent par le biais d’e-mails de phishing et de lecteurs flash infectés, mais plus récemment, des pirates informatiques ont injecté le malware sur des sites Web dormants ou non sécurisés afin d’échapper à la détection. En 2017, les pirates ont utilisé cette même tactique pour héberger des logiciels malveillants sur le site Web de la soi-disant unité de propagande de l’État islamique.

Serper a découvert que les attaquants utilisaient la même technique de piratage de site Web pour héberger njRat dans cette dernière campagne.

Selon ses conclusions, les attaquants ont compromis plusieurs sites Web – à l’insu de leurs propriétaires – pour héberger des centaines d’échantillons de logiciels malveillants njRat, ainsi que l’infrastructure utilisée par les attaquants pour commander et contrôler le logiciel malveillant. Serper a déclaré que le processus d’injection du cheval de Troie njRat dans les outils de piratage se produisait presque quotidiennement et pouvait être automatisé, ce qui suggère que les attaques sont exécutées en grande partie sans interaction humaine directe.

Il est difficile de savoir pour quelle raison cette campagne existe ou qui est derrière elle.

Les pirates volent des années d’enregistrements d’appels à partir de réseaux cellulaires piratés

Traduit de l’anglais de https://techcrunch.com/2020/03/09/hacking-the-hackers/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.