Les chercheurs ont découvert une version illicite du logiciel Cobalt Strike. Ils ont remarqué des connexions régulières entre une solution de Crimeware-as-a-service (Caas) par abonnement et une copie craquée de Cobalt Strike. Cette version piratée est un moyen permettant à ses utilisateurs d’organiser des activités illégales.
Prometheus (tel est le nom du service) a été identifié pour la première fois en août 2021. À ce moment, la société de cybersécurité Group-IB a divulgué les détails des campagnes de distribution de logiciels malveillants. Ces distributions se font par des entreprises ou des groupes cybercriminels. Ils œuvrent pour distribuer Campo Loader, IcedID, Hancitor, QBot, Buer Loader et bien d’autres en Belgique et aux États-Unis.
Pour l’équipe de BlackBerry, Prometheus est une plateforme permettant aux pirates de véhiculer leurs opérations avec facilité. C’est un système qui présente plusieurs principaux composants, dont un réseau d’infrastructures malveillantes, la distribution d’e-mails malveillants. Elle héberge aussi de façon illicite de fichiers par le biais de services légitimes tout en les redirigeant et en les trafiquant.
Comment les services de Prometheus opèrent-ils ?
Avec un coût de 250 dollars par mois, Campo Loader est commercialisé sur les forums clandestins russes. Il est considéré comme un système d’orientation du trafic (TDS) permettant de rediriger massivement le phishing vers de mauvaises pages d’accueil. Ces dernières ont pour fonction principale de déployer plusieurs logiciels malveillants sur les systèmes ciblés.
Généralement, cette redirection se fait de deux manières. Il peut faire des publicités malveillantes (malvertising) sur des sites Web légitimes ou modifier des sites internet pour y insérer du code malveillant. Mais le cas de Prometheus est différent. Tout commence par un spam contenant un fichier HTML ou une page Google Docs. En cas d’interaction, ce spam redirige la victime vers un site web compromis qui a la capacité de pirater les informations.
Sur les forums de piratage, les opérateurs du service se font appeler « Ma1n ». Leurs activités auraient commencé en octobre 2018. En se servant des outils illicites, ils proposaient des redirections et des kits PowerMTA. Ces éléments étaient à envoyer à des entreprises, avant la mise en vente de Prometheus TDS le 22 septembre 2020. C’est dans ce contexte que l’activité de Prometheus a commencé par se baser sur une version piratée de Cobalt Strike.
De nouvelles facettes du piratage informatique ?
Il est possible que la copie du logiciel soit « réalisée par les opérateurs de Prometheus eux-mêmes ». Cela suppose que l’un des membres de Prometheus détient cette copie craquée et la fournit lors de l’achat. Les chercheurs ont déterminé deux autres options pour cette installation craquée. Elle se fait pour un playbook standard ou pour l’installation d’une machine virtuelle (VM). Cela est une évidence, car un certain nombre d’acteurs de piratage ont utilisé la copie craquée au cours des deux dernières années.
Parlant de ces acteurs, on peut énumérer : DarkCrystal RAT, FickerStealer, FIN7, Qakbot et IceID. Il y a aussi des cartels de ransomware tels que REvil, Ryuk (Wizard Spider), BlackMatter et Cerber. En outre, le même Cobalt Strike Beacon a été encore utilisé dans les activités d’un courtier d’accès initial du nom de Zebra2104. Ces services ont été utilisés par des groupes tels que StrongPity, MountLocker et Phobos pour leurs campagnes.
Pour les chercheurs, le niveau de complexité que présentent ces logiciels ainsi que leurs caractères amène à penser que le piratage est en train de changer de visage. Ils ajoutent que plusieurs groupes utilisent des offres telles que Prometheus TDS. Ce sont en fait des entreprises qui soutiennent les activités malveillantes et illicites. Les services de location d’infrastructures illicites connaissent donc un grand succès pour les pirates russes.
SOURCE : HACKERNEWS