13 août 2021

Prometheus ou la démocratisation des malwares en libre-service

Introduction

Depuis plusieurs mois, des campagnes de diffusion de malware à grande échelle font rage sur le cyberespace. De nombreux groupes de cybercriminels utilisent une solution de “malware-as-a-service” (MaaS) pour distribuer des logiciels malveillants contre les habitants de Belgique ainsi que des agences du gouvernement américain. Le “malware-as-a-service” (MaaS) est une sorte de location de logiciels et de matériel pour effectuer des cyberattaques. Les propriétaires de MaaS fournissent un accès payant à un une infrastructure qui distribue des logiciels malveillants. En règle générale, les clients de ces services se voient proposer un compte personnel permettant de contrôler les attaques, ainsi qu’un support technique.

Au printemps 2021, les analystes Threat Intelligence de la société Group-IB découvrent des traces d’une campagne de diffusion du cheval de Troie Hancitor. Ils s’aperçoivent rapidement que des similitudes sont présentes dans les traces d’autres campagnes de diffusion comme Campo Loader, IcedID, Blue Loader, etc.

Plus de 3000 cibles de différentes campagnes utilisant le même schéma ont été identifiées. Les deux plus actives ont touchées des particuliers en Belgique ainsi que des sociétés, des firmes, des universités ou encore des organisations gouvernementales aux États-Unis.

Les chercheurs se sont penchés sur ces campagnes en étudiant le marché sur des sites spécialisés et ont découvert un service complet correspondant aux spécifications, Prometheus TDS (Traffic Direction System).

Prometheus, quésaco ?

Prometheus TDS est un service permettant de distribuer des fichiers malveillants ainsi que de rediriger des victimes vers des sites d’hameçonnage. Le logiciel est fourni avec une interface d’administration complète permettant un paramétrage total et complet d’une campagne selon les besoins du groupe de hackeurs. Le ransomware Prometheus est apparu pour la première fois en février de cette année.

Pour éviter aux victimes d’accéder directement à l’interface d’administration, l’outil utilise des sites tiers infectés qui sont placés entre l’outil et la victime. Les sites infectés sont ajoutés par les utilisateurs de l’outil et ne correspondent pas à une liste fixe ce qui ne permet pas de déterminer rapidement si une victime fait partie de la campagne.

Schéma d’attaque utilisant Prometheus TDS

La distribution de malware avec Prometheus suit un schéma précis de 3 étapes.

La première étape consiste en un email contenant 3 éléments, un fichier HTML qui redirige la victime vers un site compromis où la porte dérobée Prometheus.Backdoor est installée, un lien vers un webshell qui redirige la victime vers une URL utilisée par Prometheus TDS et un fichier Google Doc contenant un lien redirigeant vers un site malveillant.

Figure 1: Schéma d’une attaque via Prometheus

La deuxième étape correspond à la récolte des données sur la victime pour préparer les attaques.

Enfin, la troisième étape consiste à communiquer les informations à l’outil Prometheus TDS qui décidera s’il doit envoyer un fichier malveillant ou rediriger la victime vers une URL spécifique.

Un outil très accessible

Les campagnes utilisant le mode opératoire n’étaient en aucun cas liées et venaient de groupes différents utilisant Prometheus.

Distribué en tant que MaaS, il possède 2 modes standard :

  • Redirection des victimes vers une page ciblée
  • Diffusion d’un fichier à télécharger.

Le coût du système est de 250$ par mois pour accéder aux différentes fonctionnalités.

Figure 2: Annonce de Prometheus sur un forum

Un marché florissant

Les analystes étudiant l’infrastructure de l’outil ont remarqué que certains serveurs hébergeant précédemment le panneau d’administration de Prometheus TDS, hébergent désormais une nouvelle solution nommée BRChecker.

Cet outil est vendu comme un « testeur d’adresse email » ainsi que pour effectuer des attaques de type « brute force » sur ces dernières, pour seulement 190$ par mois.

Figure 3 : Panoplie des fonctionnalités de Prometheus

Les analystes ont également diffusé publiquement toutes les traces pour aider les potentielles victimes à identifier la menace et prendre les mesures nécessaires.

Les différents condensats des fichiers de toutes les campagnes utilisant Prometheus, les adresses IP des panneaux d’administration ainsi que les sites d’hameçonnage utilisés ont été exposés par Group-IB.

Voici une liste non exhaustive de quelques campagnes utilisant Prometheus TDS :

  • Campo Loader
  • Hancitor
  • QBot
  • IcedID
  • VBS Loader
  • Blue Loader
  • SocGholish
  • Fake VPN
  • Viagra SPAM
  • Banking phishing

13 août 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *