Une fausse organisation caritative cible les Ouïghours

Spread the love
  • Yum

Une fausse organisation caritative cible les Ouïghours

Le symbole de paix des Nations unies a été utilisé de manière abusive dans le cadre d’une campagne visant à espionner les Ouïghours. Check Point Research (CPR) et l’équipe GReAT de Kaspersky ont révélé jeudi que la campagne, qui semble être l’œuvre de cyberattaquants sinophones, cible principalement les Ouïghours, une minorité ethnique turque présente au Xinjiang, en Chine, et au Pakistan.

Les cibles reçoivent des documents de phishing portant le logo du Conseil des droits de l’homme des Nations Unies (UNHRC). Nommé UgyhurApplicationList.docx, ce document contient des éléments de leurre relatifs à des discussions sur des violations des droits humains. Toutefois, lorsque la victime ouvre le fichier, le code macro VBA rentre alors dans le système de l’ordinateur et télécharge un processeur malveillant de 32 ou 64 bits.

 

Baptisé “OfficeUpdate.exe”, le fichier est un shellcode qui récupère les données de l’ordinateur à distance, mais au moment de l’analyse, l’IP apparaît comme inutilisable. Les documents liés à la pièce jointe de l’e-mail malveillant ont permis d’élargir l’enquête à un site web utilisé pour la diffusion d’une fausse organisation humanitaire.

publicité

Une collecte de fonds frauduleuse

Le domaine “Turkic Culture and Heritage Foundation” (TCAHF) prétend travailler pour « la culture turque et les droits humains », mais il a été copié à partir de opensocietyfoundations.org, une organisation légitime de défense des droits civiques.

Ce site web, qui s’adresse aux Ouïghours, est une collecte de fonds, qui tente d’inciter les visiteurs à télécharger un “cyber security scanner” avant de fournir les informations requises pour demander une subvention. Cependant, le logiciel est en réalité une escroquerie.

Le site web proposait une version macOS et Windows, mais seul le lien permettait de télécharger le logiciel malveillant. Deux versions des backdoors ont été trouvées ; WebAssistant, proposé en mai 2020, et TcahfUpdate, qui a été chargée à partir d’octobre. Les portes dérobées établissent une persistance sur les systèmes des victimes, effectuent du cyberespionnage et du vol de données, et peuvent être utilisées pour exécuter des charges supplémentaires.

Un groupe malveillant toujours actif

Les victimes ont été localisées en Chine et au Pakistan, dans des régions majoritairement peuplées de Ouïghours.

Selon le CPR et Kasperksy, bien que le groupe ne semble pas partager d’infrastructure avec d’autres groupes de cybercriminels connus, il est très probablement d’origine chinoise et est toujours actif, avec de nouveaux domaines enregistrés cette année à la même adresse IP, liée à des attaques passées.

« Les deux domaines redirigent vers le site web d’un organisme gouvernemental malaisien appelé “Terengganu Islamic Foundation” », indiquent les chercheurs. « Cela suggère que les attaquants poursuivent d’autres cibles dans des pays comme la Malaisie et la Turquie, bien qu’ils puissent être encore en train de développer ces ressources, car nous n’avons pas encore vu d’artefacts malveillants associés à ces domaines. »

Source : ZDNet.com

Leave a Reply

%d bloggers like this: