Le logiciel malveillant SharpRhino cible les administrateurs informatiques – le gang Hunters International est suspecté.

Le dernier logiciel malveillant du nouveau gang criminel Hunters International semble cibler les administrateurs réseau, en utilisant un code malveillant déguisé en l’outil de réseau populaire Angry IP Scanner. Ce logiciel nocif, surnommé SharpRhino en raison de son utilisation de C#, est dissimulé dans une fausse version de l’outil de balayage postée sur des sites web « typo-squattés » – qui, aux yeux non avertis, semblent légitimes mais ont des URL légèrement mal orthographiées pour tromper les victimes en exécutant le code. Le logiciel malveillant a été découvert par la boutique de sécurité écossaise Quorum Cyber et semble être présent depuis la mi-juin. L’exécutable du cheval de Troie est nommé « ipscan-3.9.1-setup.exe » et consiste en un installeur Nullsoft 32 bits contenant une archive 7z protégée par mot de passe. Les chercheurs en logiciels malveillants de Quorum Cyber ont identifié le mot de passe de l’archive, et une fois à l’intérieur, ils ont trouvé une application nommée Microsoft.AnyKey.exe. Lorsqu’il est lancé, SharpRhino modifie le registre Run\UpdateWindowsKey pour diriger vers le fichier Microsoft.AnyKey.exe, qui a été adapté à partir d’un outil Microsoft Visual Studio 2019 Node JS. Il se configure également pour discuter avec deux systèmes de commande et de contrôle : le premier héberge la charge initiale et les canaux de communication vers l’opérateur, tandis que l’autre est utilisé pour explorer la machine de la cible et établir une persistance.

Share the Post: