Malware PsiXBot mis à niveau avec Google DNS sur HTTPS, kit d'exploitation sexuelle

  • Oct 04, 2023

Le malware a été bouleversé par de nouvelles infrastructures et méthodes d’attaque.

Une nouvelle variante de PsiXBot, un malware configuré pour le vol d'informations et de crypto-monnaie, a été repérée dans la nature et abuse du service DNS sur HTTPS de Google.

PsiXBot est une souche de malware relativement nouvelle, découverte pour la première fois en 2017. Écrit en .NET, le code malveillant a subi toute une série de changements et évolutions, et selon les chercheurs de Proofpoint, la dernière mise à jour inclut des modifications très intéressantes.

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

Le malware, diffusé via des campagnes de spam et en tant que charge utile dans les kits d'exploitation Spleevo et RIG-v, cible les utilisateurs tant qu'ils ne parlent pas le russe.

PsiXBot a déjà été connecté à des domaines .bit associés à la crypto-monnaie NameCoin, qui nécessitent des paramètres de serveur DNS spéciaux. Le malware utilise également un code hexadécimal minuscule.cc des liens pour effectuer des requêtes DNS pour des serveurs de commande et de contrôle (C2) distincts qui envoient des commandes d'infection commençant par une vérification du système.

Si une machine est jugée susceptible d'être infectée, des modules malveillants sont exécutés, notamment un voleur de mots de passe, un voleur de cookies, un enregistreur de frappe, et un processus qui surveille le presse-papiers pour les informations d'identification utilisées pour les portefeuilles de crypto-monnaie tels que Bitcoin, Etherium, Monero et Ondulation.

Voir également: Les vulnérabilités de la porte dérobée Telnet affectent plus d’un million d’appareils radio IoT

PsiXBot est également capable de récupérer les informations soumises aux formulaires en ligne, d'envoyer du spam sortant via Microsoft Outlook à partir du l'adresse e-mail de la victime, supprime secrètement toute trace d'e-mails malveillants envoyés et se retire d'un infecté système.

Dans un article de blog la semaine dernière, Proofpoint a déclaré que le malware inclut désormais plusieurs nouvelles fonctionnalités. Notamment, la dernière version - v.1.0.3 - inclut l'introduction du service DNS sur HTTPS (DoH) de Google, un protocole qui regroupe les requêtes DNS. sous forme de trafic HTTPS crypté plutôt que du texte brut.

Certains échantillons agissant comme charges utiles dans les kits d'exploitation utilisent la nouvelle technique, dans laquelle les domaines C2 codés en dur sont résolus avec DoH.

"En utilisant le service DoH de Google, cela permet aux attaquants de masquer la requête DNS vers le domaine C&C derrière HTTPS", explique Proofpoint. "À moins que SSL/TLS ne soit inspecté par Man in the Middle (MitM), les requêtes DNS adressées au serveur C&C passeront inaperçues."

CNET: 7 applications VPN Android que vous ne devriez jamais utiliser en raison de leurs problèmes de confidentialité

En outre, de nouveaux échantillons ont également révélé un changement d'infrastructure vers Fast Flux, une méthode permettant de modifier les entrées DNS à l'aide de réseaux hôtes compromis. Cette structure a été trouvée dans les réponses du domaine C2, à la fois via des requêtes DNS standard et DoH.

PsiXBot a également été équipé d'un nouveau module d'attaque. Codé sous le nom de « PornModule », le logiciel est très probablement utilisé à des fins d'exploitation sexuelle. Les chercheurs affirment que PornModule surveillera les fenêtres ouvertes et comparera les mots-clés à une liste stockée sous forme de dictionnaire. Si des correspondances sont trouvées, le malware commencera à enregistrer des informations audio et visuelles.

Armés de ces enregistrements, il est possible que les opérateurs du malware tentent alors d'extorquer et de faire chanter les victimes.

TechRépublique: Les 5 meilleures alternatives de mot de passe

Logiciel malveillant capable de maintenir la persistance, d'extorquer les victimes et de voler diverses informations, y compris des données liées au industrie lucrative des crypto-monnaies - est très demandé et, en tant que tel, nous pouvons nous attendre à ce que les opérateurs de PsiXBot continuent d'affiner leurs création.

"Ce malware est en cours de développement et continue d'évoluer", déclare Proofpoint. "En élargissant l'ensemble des fonctionnalités des modules inclus et les capacités globales de ce malware, l'acteur ou l'équipe derrière son développement semble rechercher la parité des fonctionnalités avec d'autres logiciels malveillants similaires sur le marché.

La plupart des failles de sécurité Android et iOS les plus dangereuses de 2018 menacent toujours votre sécurité mobile

Couverture antérieure et connexe

  • Cybersécurité: 99 % des attaques par courrier électronique reposent sur le fait que les victimes cliquent sur des liens
  • Des applications Android malveillantes contenant le malware Joker sont installées sur Google Play
  • Un malware de cyberespionnage récemment découvert abuse du service Windows BITS

Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase: charlie0