Malware distribué sous le couvert d'un outil DDoS ciblant la Russie

Les chercheurs en sécurité de Cisco Talos ont signalé qu'une nouvelle menace était distribuée déguisée. Le package malveillant est annoncé via Telegram et se présente comme une boîte à outils de déni de service distribuée destinée à atteindre des cibles russes. Les cibles sont évidemment des pirates et des organisations pro-ukrainiens qui pourraient tenter de lancer des cyber-contre-attaques contre la Russie.

Cependant, au lieu d'un outil DDoS, le package contient le malware Phoenix infostealer.

Phoenix se fait passer pour un outil DDoS

Le logiciel malveillant Phoenix existe depuis un certain temps, faisant la une des journaux en 2019, lorsqu'il a commencé comme un enregistreur de frappe plus modeste. L'ensemble d'outils malveillants dont Phoenix dispose actuellement a été considérablement étendu depuis lors. Des modules d'évasion de détection et des capacités d'anti-analyse ont été intégrés à la plate-forme initiale d'enregistreur de frappe pour transformer l'enregistreur de frappe en ce qu'il est aujourd'hui.

Le logiciel malveillant est distribué à l'aide d'un message qui le présente comme un outil pour attaquer les "sites russes" et prétend que l'outil obtiendra automatiquement ses sites Web cibles à partir d'un serveur. Le message utilisé pour diffuser le malware s'appelle l'archive "Disbalancer.zip".

Ceci est fait pour imiter l'outil disBalancer original lancé par une organisation pro-ukrainienne. L'outil disBalancer est destiné, selon sa propre description, à "cibler les sites de propagande russes". Il est facile de voir comment quelqu'un à la recherche de l'outil d'origine peut finir par télécharger la charge utile Phoenix se faisant passer pour un disBalancer.

Vieux chien, nouveaux trucs

Selon les chercheurs de Cisco, cette campagne de diffusion de Phoenix n'est pas menée par de nouveaux hackers pleins d'espoir, mais est dirigée par une équipe organisée d'acteurs qui existent depuis fin 2021.

La version de Phoenix utilisée dans ce cas récupère les informations de crypto-monnaie et les informations d'identification du système victime, puis siphonne les données récupérées vers une adresse IP russe en utilisant le port 6666. Le même couple IP et port a été utilisé en novembre 2021.

La situation actuelle en Ukraine, en Russie et en Europe dans son ensemble offre de nombreuses opportunités pour des cascades intelligentes d'ingénierie sociale et la distribution de plus de logiciels malveillants en utilisant des astuces et des détournements simples mais efficaces. De récentes campagnes de phishing lancées par différents acteurs de la menace ont ciblé des entités européennes confrontées à l'afflux de réfugiés ukrainiens se dirigeant vers l'ouest.