Les pirates utilisent un clone Python de Minesweeper pour cibler les institutions financières

Les pirates utilisent un code provenant d’un clone Python de Minesweeper pour attaquer des organisations financières et d’assurance aux États-Unis et en Europe. Selon Bleeping Computer , l’équipe de réponse aux incidents de sécurité informatique (CSIRT-NBU) et l’équipe de réponse aux urgences informatiques d’Ukraine ( CERT-UA ) ont suivi l’attaque et ont trouvé l’UAC-0188 responsable.

L’UAC-0188, également connu sous le nom de FromRussiaWithLove, est un hacktiviste russe. Les attaquants utilisent le code Minesweeper pour masquer leurs scripts Python qui installent SuperOps RMM, un outil qui les aide à accéder aux systèmes concernés.

Comment les pirates utilisent-ils le code du Démineur ?

Les malfaiteurs se déguisent en centre médical. Ils utilisent l’ e-mail [email protected] . De plus, l’objet du courrier est Archive Web personnelle de documents médicaux.

Dans l’e-mail, les destinataires peuvent trouver un lien Dropbox, qui mène à un fichier de 33 Mo. Fichier SCR contenant le code du clone Python de Minesweeper et un code malveillant qui télécharge des logiciels malveillants supplémentaires depuis anotepad.com.

Le clone Python de Minesweeper sert de leurre pour la véritable chaîne codée en base64 de 28 Mo, qui contient le code malveillant. De plus, la fonction create_license_ver contenue dans le code décode et exécute le malware. Ce processus cache le code malveillant des systèmes de sécurité.

Lorsque la fonction termine le décodage, elle révèle un. Fichier ZIP contenant le RMM SuperOps. Ensuite, il l’extrait et l’exécute à l’aide d’un mot de passe statique.

Les spécialistes de la cybersécurité recommandent que si vous remarquez une activité SuperOPS RMM sur votre appareil, vous soyez prudent, surtout si votre organisation ne l’utilise pas. Vérifiez également les appels vers les domaines suivants : superops.com et superops.ai. De plus, utilisez un antivirus mis à jour, sauvegardez vos données importantes et modifiez régulièrement vos mots de passe.

En fin de compte, le malware Minesweeper constitue une menace sérieuse que vous ne devriez pas traiter à la légère. Le CERT-UA a révélé cinq fichiers similaires envoyés aux États-Unis et dans l’UE. Soyez donc prudent, surtout si vous dirigez une organisation financière.