Une nouvelle campagne d’attaques semble cibler en priorité les postes des développeurs et s’appuie sur les sites de partages de codes comme Bitbucket pour déployer de multiples malwares afin d’extraire identifiants et autres données confidentielles.
Cybereason a repéré une campagne de cyberattaques assez sophistiquée dont les « payloads » (autrement dit les charges logicielles : downloaders, backdoors, malwares, ransomwares…) sont hébergés sur la plateforme de stockage et de partage de codes source Bitbucket, basée sur les API Git.
Les cybercriminels profitent du fait que certaines entreprises paramètrent leurs protections en accordant davantage de confiance aux sites de partages des codes utilisés par leurs développeurs qu’ils n’en accordent aux autres sites Web. Les développeurs tendent en effet à manipuler et échanger des codes sources en cours d’élaboration et donc non encore certifiés comme sains. Pour éviter les blocages, certaines entreprises réduisent le niveau de détection de tels sites qu’ils considèrent comme relativement sûrs. L’étude de Cybereason montre qu’elles ont tort et de que tels sites peuvent effectivement être pervertis et être utilisés à des fins malveillantes.
Selon Cybereason, il existe une véritable tendance chez les cybercriminels à abuser des plateformes de stockage légitimes en ligne comme Github, Dropbox, Google Drive et Bitbucket pour diffuser des malwares communs. « Dans cette campagne, les attaquants abusent de la plateforme Bitbucket en créant plusieurs comptes d’utilisateurs mis à jour fréquemment (parfois toutes les heures) expliquent Lior Rochberger et Assaf Dahan, deux chercheurs de Cybereason. Les mises à jour régulières des malwares stockés sur ces comptes et l’utilisation de Themida comme packer permettent d’échapper à la détection par les logiciels antivirus et de tromper les tentatives d’analyse. Le packer CypherIT Autoit est également utilisé pour offrir une protection supplémentaire contre les analyses à Azorult par exemple »
Les équipes de Cybereason ont ainsi détecté la présence de plusieurs malwares réputés très dangereux sur les espaces Bitbucket :
- Predator : un voleur d’informations qui dérobe les identifiants des navigateurs, utilise l’appareil photo pour prendre des photos, fait des captures d’écran et vole des portefeuilles de crypto-monnaies.
- Azorult : un voleur d’informations qui dérobe des mots de passe, des identifiants de courrier électronique, des cookies, l’historique du navigateur, des identifiants, de la crypto-monnaie et qui a la capacité de créer des backdoors.
- Evasive Monero Miner: le « droppeur » d’un crypto-miner (XMRig Miner) à plusieurs étages qui utilise des techniques de contournement avancées pour miner du Monero tout en restant discret.
- STOP Ransomware: utilisé pour rançonner les fichiers systèmes et conçu au moyen d’une plateforme de rançongiciels open source.
- Vidar: un voleur d’informations qui dérobe les cookies et l’historique des navigateurs Web, les portefeuilles numériques, les données d’authentification à double facteur, et qui prend également des captures d’écran.
- Amadey bot: cheval de Troie utilisé principalement pour collecter des données sur un terminal cible.
- IntelRapid: un voleur de crypto-monnaies qui dérobe différents types de portefeuilles de crypto-monnaies.
Pour les chercheurs de Cybereason, cette attaque via Bitbucket est notamment intéressante par son fonctionnement. Les cybercriminels ciblent généralement un seul terminal (la machine d’un développeur en particulier au sein de l’entreprise) pour l’infecter de différents malwares de façon ponctuelle. L’objectif principal semble essentiellement ici le vol d’informations et notamment d’identifiants à des fins de revente.
Jusqu’ici, Cybereason estime que 500 000 machines auraient ainsi été infectées dans le monde par cette campagne d’attaques via Bitbucket.
Une attaque sophistiquée et à multiples étages qui doit inviter les RSSI et autres responsables de la sécurité à rehausser les niveaux de surveillance et de détection de tout ce qui provient des sites de partages notamment utilisés par les développeurs de l’entreprise qui disposent souvent de postes de travail avec des droits étendus.