L’affilié de LockBit utilise le malware Amadey Bot pour déployer un ransomware – Systeme.io


LockBit

Un affilié de LockBit 3.0 ransomware utilise des e-mails de phishing qui installent le bot Amadey pour prendre le contrôle d’un appareil et chiffrer les appareils.

Selon un nouveau rapport d’AhnLab, l’acteur de la menace cible les entreprises utilisant des e-mails de phishing avec des leurres prétendant être des offres d’emploi ou des avis de violation du droit d’auteur.

La charge utile LockBit 3.0 utilisée dans cette attaque est téléchargée sous la forme d’un script PowerShell obscurci ou d’une forme exécutable, s’exécutant sur l’hôte pour chiffrer les fichiers.

Activité Amadey Bot

Le malware Amadey Bot est une ancienne souche capable d’effectuer une reconnaissance du système, une exfiltration de données et un chargement de charge utile.

Des chercheurs coréens d’AhnLab ont remarqué une augmentation de l’activité d’Amadey Bot en 2022 et ont signalé avoir trouvé une nouvelle version du malware en juillet, abandonnée via SmokeLoader.

La dernière version a ajouté des capacités de détection antivirus et d’évitement automatique, rendant les intrusions et la suppression des charges utiles plus furtives.

Lors de la campagne de juillet, Amadey a abandonné divers logiciels malveillants voleurs d’informations, tels que RedLine, mais la campagne la plus récente charge à la place une charge utile LockBit 3.0.

Chaînes d’infection

Les chercheurs d’AhnLab ont remarqué deux chaînes de distribution distinctes, l’une reposant sur une macro VBA dans un document Word et l’autre déguisant l’exécutable malveillant en fichier Word.

Dans le premier cas, l’utilisateur doit cliquer sur le bouton « Activer le contenu » pour exécuter la macro, qui crée un fichier LNK et le stocke dans « C:\Users\Public\skem.lnk ». Ce fichier est un téléchargeur pour Amadey.

Document malveillant initiant la chaîne d'infection
Document malveillant initiant la chaîne d’infection (AhnLab)

Le deuxième cas, observé fin octobre, utilise des pièces jointes à un e-mail avec un fichier nommé « Resume.exe » (Amadey) qui utilise une icône de document Word, incitant les destinataires à double-cliquer.

Les deux chemins de distribution conduisent à des infections Amadey qui utilisent la même adresse de commande et de contrôle (C2), il est donc prudent de supposer que l’opérateur est le même.

Amadey à LockBit 3.0

Au premier lancement, le logiciel malveillant se copie dans le répertoire TEMP et crée une tâche planifiée pour établir la persistance entre les redémarrages du système.

Ensuite, Amadey se connecte au C2, envoie un rapport de profilage d’hôte, puis attend la réception des commandes.

Les trois commandes possibles du serveur C2 ordonnent le téléchargement et l’exécution de LockBit, sous forme PowerShell (‘cc.ps1’ ou ‘dd.ps1’), ou sous forme exe (‘LBB.exe’).

Version PowerShell masquée de LockBit
Version PowerShell masquée de LockBit (AhnLab)

Les charges utiles sont à nouveau supprimées dans TEMP comme l’une des trois suivantes :

  • %TEMP%\1000018041\dd.ps1
  • %TEMP%\1000019041\cc.ps1
  • %TEMP%\1000020001\LBB.exe

À partir de là, LockBit crypte les fichiers de l’utilisateur et génère des notes de rançon exigeant le paiement, menaçant de publier les fichiers volés sur le site d’extorsion du groupe.

Échantillon des notes de rançon générées
Échantillon des notes de rançon générées (AhnLab)

En septembre 2022, AnhLab a observé deux autres méthodes de distribution de LockBit 3.0, l’une utilisant des documents DOTM avec une macro VBA malveillante et l’autre déposant des fichiers ZIP contenant le logiciel malveillant au format NSIS.

Plus tôt, en juin 2022, LockBit 2.0 a été vu distribué via de faux e-mails de violation du droit d’auteur laissant tomber les installateurs NSIS, donc tout semble être l’évolution de la même campagne.

[ad_3]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *