En effet, Cybereason a révélé l'existence d'une campagne de diffusion de malwares via Bitbucket. Pour ce faire, les hackers créent plusieurs comptes d'utilisateurs mis à jour régulièrement. Afin d'échapper à la détection par des antivirus et neutraliser les tentatives d'analyse, les malfaiteurs utilisent Themida comme packer si CypherIT Autoit est particulièrement employé pour packager Azorult, l'un des malwares.
Les victimes sont des utilisateurs qui téléchargent une version piratée de logiciels commerciaux comme Microsoft Office ou Adobe Photoshop. Les fichiers d'installation sont alors regroupés avec un code qui permet d'installer les malwares. Et pour éviter la détection par les antivirus, les produits proposés sont mis à jour régulièrement par les attaquants.
Sept malwares ont été détectées par Cybereason sur la plateforme Bitbucket :
- Predator : « un voleur d'informations qui vole les informations d'identification des navigateurs, utilise l'appareil photo pour prendre des photos, prend des captures d'écran et vole les portefeuilles de cryptomonnaies. »
- Azorult : « un voleur d'informations qui vole les mots de passe, les identifiants de messagerie, les cookies, l'historique du navigateur, les identifiants, les cryptomonnaies et possède des capacités de porte dérobée. »
- Evasive Monero Miner : « qui utilise des techniques d'évasion avancées pour exploiter Monero et rester discret. »
- STOP Ransomware : « utilisé pour rançonner le système de fichiers et basé sur une plateforme de ransomware open source, il a également des capacités de téléchargement qu'il utilise pour infecter le système avec des logiciels malveillants supplémentaires. »
- Vidar : « un voleur d'informations qui vole les cookies et l'historique du navigateur Web, les portefeuilles numériques, les données d'authentification à deux facteurs et prend des captures d'écran. »
- Amadey bot : « un simple trojan bot principalement utilisé pour collecter des informations de reconnaissance sur une machine cible. »
- IntelRapid : « un voleur de cryptomonnaie qui vole différents types de portefeuilles de cryptomonnaies. »
Fonctionnement d'une attaque via Bitbucket
Au début de l'attaque, l'utilisateur, qui tente d'installer le logiciel « gratuit », va également permettre l'installation d'Azorult et de Predator sans le vouloir. Azorult s'exécute en premier et commence à voler les informations puis supprime son binaire. Après cela, Predator crée une connexion à Bitbucket pour télécharger les charges utiles supplémentaires.
Le processus d'installation d'Azorult et de Predator
Ces charges utiles sont toutes sur Bitbucket. Et les URL de téléchargement se présentent notamment comme suit :
Chaque fichier « .exe » indiqué correspond à un malware et certains logiciels malveillants peuvent se diviser en plusieurs parties : Azorult (divisé en deux fichiers nommés « 1.exe » et « 3.exe »), Predator (« 2.exe » et « 8800.exe ») ou Evasive Monero Miner (« 4.exe » et « 5.exe »).
Ensuite, Cybereason a déduit à partir du nombre de téléchargements que 500 000 appareils ont été touchés par cette vaste campagne.
Quelques heures après la signalisation de l'existence de ces logiciels malveillants par Cybereason, Bitbucket a désactivé les malwares en question.
À travers ce rapport, Cybereason insiste sur le fait que les hackers trouvent toujours des moyens plus sophistiqués pour contourner les dispositifs de sécurité et profiter de la confiance qu'accordent les utilisateurs aux plateformes qu'ils utilisent.
« Les attaquants continuent d'évoluer et recherchent des moyens plus efficaces de réaliser un profit. Ils constatent que, lorsque leurs outils échouent, ils peuvent utiliser des outils légitimes à la place. Les praticiens de la sécurité doivent trouver des moyens d'évoluer plus rapidement et assurer la sécurité de ces ressources de confiance afin que nous puissions rester en avance sur ces menaces », soulignent Lior Rochberger et Assaf Dahan, les auteurs du rapport.
Toutefois, ces deux chercheurs n'ont présenté que le cas de Bitbucket, alors que d'autres plateformes similaires, comme Github, Dropbox ou Google Drive sont exposées à des risques du même type.
Source : Cybereason
Et vous ?
Utilisez-vous Bitbucket ? Si oui, avez-vous déjà été confrontés à une telle attaque ?
Voir aussi :
Bitbucket abandonne le support Mercurial et se concentre sur Git. Les fonctionnalités et dépôts seront officiellement supprimés le 1er juin 2020
Un hacker vide des centaines de dépôts privés Git et demande une rançon aux devs, sous peine de se servir de leur travail ou de le rendre public
GitHub permet désormais de créer un nombre illimité de référentiels privés avec son offre gratuite, et annonce une offre unifiée pour les entreprises