Un générateur de documents malveillants appelé EtterSilent attire de plus en plus l'attention sur les forums clandestins, selon des chercheurs en sécurité. Au fur et à mesure que sa popularité augmentait, le développeur a continué à l'améliorer pour éviter la détection par les solutions de sécurité.
Les cybercriminels à l'origine d'opérations avec des logiciels malveillants connus ont commencé à inclure plus fréquemment EtterSilent dans leurs campagnes pour augmenter le taux de réussite de la livraison de la charge utile.
Utilisation de macros et d'exploits
Des publicités faisant la promotion du créateur de maldoc EtterSilent sont diffusées sur des forums clandestins depuis au moins la mi-2020, avec des fonctionnalités telles que l'exclusion de Windows Defender, Windows AMSI (Anti-Malware Scanning Interface) et des services de messagerie populaires tels que Gmail.
dans un article de blog Aujourd'hui, les chercheurs de la société de renseignement sur les menaces Intel 471 soulignent que le fournisseur a proposé des documents Microsoft Office (2007 à 2019) comme armes en deux 'saveurs': avec un exploit pour une vulnérabilité connue ou avec une macro malveillante.
L'une des vulnérabilités exploitées est CVE-2017-8570 , une exécution de code à distance de haute gravité. L'auteur a également mentionné deux autres vulnérabilités ( CVE-2017-11882 c'est CVE-2018-0802 ), bien que certaines restrictions aient été appliquées, et ils les ont démontrées dans une vidéo.
Selon Intel 471, la variante macro est la variante la plus populaire, probablement en raison de « un prix inférieur et d'une meilleure compatibilité que l'exploit ».
Un maldoc EtterSilent codé en macro peut représenter un document DocuSign ou DigiCert qui invite les utilisateurs à activer la prise en charge des macros qui téléchargent une charge utile en arrière-plan.
Parce qu'il utilise des macros XML Excel 4.0, EtterSilent ne dépend pas du langage de programmation Visual Basic pour Applications (VBA), couramment utilisé avec les macros malveillantes.
'Le maldoc tire ensuite parti des macros Excel 4.0 stockées dans une feuille cachée, lui permettant de télécharger, d'écrire sur le disque et d'exécuter une charge utile hébergée en externe à l'aide de regsvr32 ou rundll32. À partir de là, les attaquants peuvent continuer et lancer d'autres logiciels malveillants. Intel 471
La faible détection attire les grands noms
Les chercheurs notent qu'un maldoc EtterSilent a été inclus dans une récente campagne de spam qui a lancé une version mise à jour de Trickbot. Le gang a utilisé la même méthode lors d'une campagne le 19 mars pour infecter les systèmes avec BazarLoader / BazarBackdoor.
Intel 471 affirme que d'autres groupes cybercriminels ont exploité les services EtterSilent pour leurs opérations. Quelques exemples sont les chevaux de Troie bancaires IcedID/BokBot, Ursnif/Gozi ISFB et QakBot/QBot. Avec Trickbot, la plupart d'entre eux ont été utilisés pour fournir plusieurs variétés de ransomwares (Ryuk, Conti, Maze, Egregor, ProLock).
Des gangs prolifiques comme ceux-ci recherchent constamment de nouvelles façons de distribuer leurs charges utiles tout en attirant le moins d'attention possible, et le service maldoc EtterSilent semble fournir une bonne couverture.
Début mars, certains des documents armés construits avec cet outil sont passés complètement inaperçus par tous les moteurs antivirus inclus dans un service de scan.
Il y a une semaine, moins d'une poignée de moteurs antivirus ont détecté un document militarisé créé avec cet outil. Au moment d'écrire ces lignes, la détection est passée à 20/40 moteurs sur VirusTotal. Pour un autre dossier, la détection a augmenté en six jours de 16/62 à 20/62.
L'année dernière, le prix pour générer un document EtterSilent malveillant était de 130 $. Cependant, le service proposait un niveau plus cher (230 $) pour un stub personnalisé afin de rendre les fichiers malveillants uniques en les cryptant.
Le blog 471 d'Intel fournit une liste d'indicateurs de compromission pour les documents malveillants EtterSilent et les charges utiles qu'ils ont fournies : Trickbot, IcedID, QBot, Ursnif et BazarLoader.
Qu'est-ce que tu penses?
