La Campagne Malveillante PHANTOM#SPIKE

Les chercheurs de Symantec dévouvrent une Campagne Malveillante PHANTOM#SPIKE.

PHANTOM#SPIKE est une campagne malveillante récemment découverte par les chercheurs de Symantec Broadcom.

Cette campagne se distingue par l’utilisation de fichiers .chm (Microsoft Compiled HTML Help) pour distribuer des portes dérobées personnalisées, permettant aux attaquants un accès furtif et persistant aux systèmes infectés.  Plus précisément il s’agit d’une campagne de phishing qui utilise des escroqueries par courrier électronique pour infecter ses cibles.

Méthodologie

Les fichiers .chm, traditionnellement utilisés pour la documentation d’aide de logiciels, sont détournés pour contenir du code malveillant. Lorsqu’un utilisateur ouvre un de ces fichiers, le code malveillant s’exécute et installe une porte dérobée sur le système de la victime. PHANTOM#SPIKE utilise une méthode sophistiquée pour compromettre les systèmes :

  • Infection InitialeLes attaquants distribuent des fichiers .chm infectés via des e-mails de phishing ou des téléchargements malveillants. Ces fichiers .chm contiennent du code HTML et JavaScript malveillant.
  • Exécution du Code Malveillant : Lorsqu’un utilisateur ouvre le fichier .chm, le code malveillant s’exécute automatiquement. Ce code exploite des vulnérabilités pour installer une porte dérobée sur le système.
  • Communication et Contrôle : La porte dérobée établit une communication avec un serveur de commande et de contrôle (C&C). Les attaquants peuvent alors envoyer des commandes à distance, exfiltrer des données, et déployer des logiciels supplémentaires.
  • PersistancePour maintenir l’accès, la porte dérobée modifie les paramètres du système et crée des tâches planifiées. Cela assure que la porte dérobée reste active même après un redémarrage du système.
  • Evasion des DétectionsLa campagne utilise des techniques avancées pour éviter la détection par les solutions de sécurité. Cela inclut le chiffrement des communications et l’utilisation de techniques d’obscurcissement du code.

Ces méthodes montrent la complexité et l’ingéniosité des attaquants pour compromettre les systèmes et maintenir un accès non autorisé.

Objectifs

Les portes dérobées déployées par PHANTOM#SPIKE permettent aux attaquants de :

  • Exfiltrer des données sensibles.
  • Prendre le contrôle des systèmes infectés. Lancer des attaques supplémentaires à partir des systèmes compromis.

 

Prévention et Protection

Pour se protéger contre de telles menaces, il est crucial de :

  • Maintenir les systèmes et logiciels à jour avec les derniers correctifs de sécurité.
  • Éviter d’ouvrir des fichiers provenant de sources non vérifiées.
  • Utiliser des solutions de sécurité avancées capables de détecter et de bloquer les fichiers .chm malveillants.

Conclusion

PHANTOM#SPIKE illustre la sophistication croissante des campagnes de cyberattaques, utilisant des méthodes non conventionnelles pour contourner les défenses traditionnelles. La vigilance et l’adoption de pratiques de sécurité rigoureuses sont essentielles pour se protéger contre de telles menaces.

Pour plus de détails, vous pouvez consulter le bulletin de sécurité de Broadcom.

 

 

A propos de l'auteur

Retour en haut