fresnel6 - Fotolia

Sekoia.io lève le voile sur la campagne d’intrusion dnSpy

Après enquête, les équipes de Sekoia.io ont pu déterminer l’étendue d’une campagne d’intrusion découverte à partir de la compromission d’une application de rétro-ingénierie logicielle.

C’est ce 8 janvier qu’a été découverte une version vérolée de dnSpy, une application bien connue de rétro-ingénierie logiciel pour .Net : distribuée via le site dnspy.net et GitHub, cette mouture piégée embarque une porte dérobée et se charge de « télécharger et exécuter d’autres binaires malveillants à son exécution », expliquent les équipes de Sekoia.io. Au programme : outil d’accès distant, mineur de cryptodeniers, etc.

L’acteur malveillant à l’origine de cette opération n’a pas hésité à utiliser Google Adwords pour se placer en tête des résultats de Google. Il joue sur une composition graphique sobre et professionnelle pour renforcer l’apparence sérieuse de son site Web illégitime.

Les équipes de renseignement sur les menaces de Sekoia.io ont cherché à étudier l’infrastructure utilisée par l’acteur impliqué. Leur enquête fait ressortir une campagne loin d’être limitée à dnSpy : des noms de domaines visant à leurrer les utilisateurs d’autres outils populaires ont été déposés. OBS Studio, une application open source de streaming, les environnements de développement libres Dev-C++ et MinGW-w64, l’outil de démaquillage de code .Net de4dot, le bac à sable Sandboxie, ou encore le navigateur Tor Browser sont concernés.

L’un des noms de domaines déposés par le cyberdélinquant est utilisé pour héberger un centre de commande et de contrôle pour l’outil de contrôle à distance (RAT) Quasar. Ce n’est pas le seul impliqué : il faut également compter avec le RAT BlackNet. Mais l’importun ne s’est pas arrêté là : l’examen des identifiants Google Analytics fait ressortir des sites de téléchargement.

L’enquête menée par Sekoia.io a même permis de déterminer des éléments susceptibles de débusquer l’indélicat. Lequel apparaît fréquenter plusieurs forums bien connus de la cyberdélinquance pour promouvoir un outil de piratage. Les chercheurs suspectent que le cyberdélinquant l’utilise comme appât pour pousser, ensuite, des logiciels piégés.

Chercheur en sécurité senior chez Sekoia.io, Félix Aimé estime que la campagne dnsSpy est l’œuvre d’une personne isolée, peu qualifiée. Elle vise les experts de la rétro-ingénierie logicielle, mais pas uniquement. Pour le chercheur, la campagne peut avoir notamment pour objectif d’obtenir des accès initiaux qui seront revendus ultérieurement à des courtiers, ou directement.

Félix Aimé partage de nombreux marqueurs techniques sur Twitter. Dans un entretien avec la rédaction, il souligne que la campagne est toujours active, le cyberdélinquant ayant encore enregistré des noms de domaine le mardi 11 janvier en fin d’après-midi.

Pour approfondir sur Menaces, Ransomwares, DDoS