Techonologie

Mysterious Elephant, le groupe de hackers qui exfiltre des données sensibles depuis WhatsApp

salwa

Kaspersky a publié un rapport sur Mysterious Elephant, un groupe de cybercriminels qui exécute des modules d’exfiltration de données sensibles via WhatsApp après s’être introduit dans un système. Le gang cible majoritairement des institutions gouvernementales et services diplomatiques en Asie.

Le groupe de recherche et d’analyse (GreAT) de la société de cybersécurité Kaspersky a publié le 15 octobre un rapport sur les hackers de Mysterious Elephant. Repéré pour la première fois en 2023, le gang a progressivement diversifié ses tactiques et outils malveillants, jusqu’à intégrer dans son malware le code d’autres groupes de menace. Mysterious Elephant “utilise désormais une combinaison de kits d’exploitation, d’e-mails de phishing et de documents malveillants pour accéder à leurs cibles, explique Kaspersky. Une fois à l’intérieur, ils déploient divers outils personnalisés et open source pour atteindre leurs objectifs.”

Pièces jointes malveillantes

Dans un premier temps, le groupe APT utilise ainsi des e-mails de spear phishing (phishing personnalisé) pour imiter une correspondance réelle. L’une des pièces jointes malveillantes repérée par Kaspersky concernait par exemple la candidature du Pakistan à un siège non permanent au Conseil de sécurité de l’Onu. L’ouverture du document génère un script PowerShell permettant à l’acteur malveillant d’exécuter des commandes, de déployer de nouvelles charges utiles et de maintenir son accès.

Mysterious Elephant déploie ensuite BabShell, un outil de reverse shell écrit en C++ qui lui donne directement accès à un système infecté, tout en collectant des données telles que le nom de l’utilisateur, le nom de la machine et son identifiant (adresse MAC). Les hackers utilisent enfin plusieurs modules, dont MemLoader Hidden Desk. Ce dernier leur permet d’exécuter des charges malveillantes en mémoire tout en activant le chiffrement et la compression afin d’éviter d’être repérés.

Trois outils d’exfiltration de données WhatsApp

Une fois l’accès initial obtenu, Mysterious Elephant peut déployer des modules d’exfiltration de données sensibles depuis l’application WhatsApp du système compromis. “Les attaquants ont intégré des fonctionnalités spécifiques à WhatsApp à leurs outils d’exfiltration, leur permettant de cibler les fichiers partagés via l’application et d’exfiltrer des données précieuses, notamment des documents, des images, des fichiers d’archives, etc.”, note Kaspersky.

La société de cybersécurité décrit trois outils d’exfiltration. Le premier, Uplo, cible certaines extensions de fichiers susceptibles de contenir des données sensibles (.txt, .doc, .pdf, .xls et .jpeg, notamment) avant de les télécharger sur les infrastructures de commande et de contrôle des hackers. Mysterious Elephant a également développé Stom, un outil qui recherche des emplacements spécifiques, tels que “Bureau” ou “Téléchargements” pour ensuite collecter les données partagées via l’application WhatsApp.

L’Asie du Sud particulièrement visée

“ChromeStealer Exfiltrator est un autre outil d’exfiltration utilisé par Mysterious Elephant qui cible les données du navigateur Google Chrome, notamment les cookies, les jetons et autres données sensibles”, ajoute Kaspersky. Les fichiers qui s’y trouvent sont ensuite téléchargés vers la même infrastructure, exposant ainsi des contacts et historiques de discussion. “La réponse du serveur C2 suggère que cet outil cherchait également à voler des fichiers liés à WhatsApp”, indique l’entreprise.

Le groupe de hackers cible surtout des gouvernements et organismes diplomatiques dans la région Asie-Pacifique. Le Pakistan est de loin le pays le plus ciblé (44%), suivi par l’Afghanistan (13%), le Bangladesh (13%) et le Népal (7%). À noter que 4% des tentatives de ciblage l’ont été contre des organisations britanniques. “Pour contrer la menace de Mysterious Elephant, il est essentiel que les organisations mettent en œuvre des mesures de sécurité robustes, notamment des mises à jour logicielles régulières, la surveillance du réseau et la formation des salariés”, recommande Kaspersky.

Source : usine-digitale.fr

 

Vous pourrez aussi aimer

«X est une plateforme toxique» : le journal britannique The Guardian cesse de publier sur le réseau social d’Elon Musk

salwa

Elon Musk attaque le projet Stargate de Donald Trump

salwa

La Chine prévoit une production de masse de ses robots humanoïdes

salwa