Le gang OldGremlin Ransomware cherche une victime avec la porte dérobée TinyFluff
Les acteurs des menaces persistantes avancées (APT) ne montrent pas toujours des activités remarquables. Certains d'entre eux préfèrent s'attaquer à quelques attaques très ciblées qui pourraient rapporter d'immenses bénéfices si elles sont exécutées avec succès. C'est exactement la stratégie sur laquelle s'appuient les pirates connus sous le nom d'OldGremlin. Ils ont déjà été impliqués dans plusieurs attaques de ransomwares, généralement menées contre des entreprises et des entreprises basées en Russie. Cependant, la fréquence de leurs attaques est très faible – seulement cinq ont été menées en 2021. De plus, le groupe est resté silencieux pendant près d'un an – jusqu'à maintenant.
Récemment, des experts en logiciels malveillants sont tombés sur un nouveau cheval de Troie de porte dérobée qui a été surnommé la porte dérobée TinyFluff. Il semble partager des similitudes avec les portes dérobées précédentes utilisées par les pirates OldGremlin. En outre, il réutilise également certaines des infrastructures réseau sur lesquelles les pirates OldGremlin s'étaient appuyés auparavant.
Les cibles de TinyFluff Backdoor sont à nouveau les institutions financières russes. Les criminels profitent des événements actuels et envoient des e-mails de phishing qui prétendent contenir des informations sur les sanctions financières actuelles contre les entreprises et les citoyens russes. Les destinataires sont invités à télécharger et à examiner une pièce jointe à un e-mail, qui est hébergée sur un service d'hébergement public comme Dropbox. Cependant, le téléchargement cache un code malveillant destiné à déployer la porte dérobée TinyFluff.
Une fois active, la porte dérobée donne un accès complet à l'appareil infecté. Il collecte des données sur le système, le matériel et les logiciels. Les criminels peuvent envoyer des commandes à distance, introduire des plugins supplémentaires et plus encore. Étonnamment, la porte dérobée TinyFluff n'a pas encore été utilisée en combinaison avec les charges utiles de ransomware de signature d'OldGremlin - cependant, ce n'est probablement qu'une question de temps.