L'équipe ukrainienne de réponse aux urgences informatiques (**CERT-UA**) a identifié une nouvelle famille de malwares, 'AgingFly', activement utilisée dans des attaques contre les gouvernements locaux et les hôpitaux en Ukraine. L'objectif principal du malware est de voler des données d'authentification des navigateurs basés sur Chromium et de l'application de messagerie WhatsApp. Ces attaques, repérées le mois dernier, sont suspectées de cibler potentiellement des représentants des forces de défense, selon des preuves médico-légales. CERT-UA attribue ces attaques à un cluster de menaces informatiques suivi sous le nom d'UAC-0247. ### Chaîne d'attaque La chaîne d'attaque commence par un e-mail de phishing déguisé en offre d'aide humanitaire. Les victimes sont incitées à cliquer sur un lien intégré. Ce lien redirige soit vers un site légitime compromis via une vulnérabilité de cross-site scripting (XSS), soit vers un faux site généré à l'aide d'un outil d'IA. La cible reçoit ensuite une archive contenant un fichier raccourci (LNK) qui lance un gestionnaire HTA intégré. Ce gestionnaire se connecte à une ressource distante pour récupérer et exécuter un fichier HTA. Le fichier HTA affiche un formulaire de diversion pour distraire l'utilisateur pendant qu'une tâche planifiée est créée. Cette tâche télécharge et exécute un payload EXE qui injecte du shellcode dans un processus légitime. Ensuite, les attaquants déploient un chargeur en deux étapes, la deuxième étape utilisant un format exécutable personnalisé. Le payload final est compressé et chiffré. "Un shell TCP inversé typique ou un analogue classé comme RAVENSHELL peut être utilisé comme stagers, ce qui permet d'établir une connexion TCP avec le serveur de gestion", a déclaré CERT-UA dans son rapport. Une connexion TCP, chiffrée à l'aide du chiffrement XOR, est établie avec le serveur de Command and Control (C2), permettant l'exécution de commandes via l'invite de commandes Windows. Par la suite, le malware AgingFly est livré et déployé. Un script **PowerShell** (SILENTLOOP) est utilisé pour exécuter des commandes, mettre à jour les configurations et récupérer l'adresse du serveur C2 à partir d'un canal **Telegram** ou de mécanismes de secours.  Après avoir enquêté sur plusieurs incidents, les chercheurs ont découvert que les attaquants volent des données de navigateur à l'aide de **ChromElevator**, un outil de sécurité open-source. ChromElevator déchiffre et extrait des informations sensibles, telles que les cookies et les mots de passe enregistrés, des navigateurs basés sur Chromium (par exemple, **Google Chrome**, **Microsoft Edge**, **Brave**) sans nécessiter de privilèges d'administrateur. L'acteur de la menace tente également d'extraire des données sensibles de l'application WhatsApp pour Windows en déchiffrant les bases de données à l'aide de l'outil médico-légal open-source ZAPiDESK. Les chercheurs ont observé des activités de reconnaissance et des mouvements latéraux au sein du réseau, en utilisant des utilitaires disponibles publiquement tels que le scanner de ports RustScan et les outils de tunneling Ligolo-ng et Chisel. ### Caractéristiques uniques d'AgingFly AgingFly, écrit en **C#**, accorde aux opérateurs des capacités de contrôle à distance, d'exécution de commandes, d'exfiltration de fichiers, de capture d'écran, de keylogging et d'exécution de code arbitraire. Il communique avec son serveur C2 via WebSockets et chiffre le trafic à l'aide d'AES-CBC avec une clé statique. Notamment, AgingFly n'inclut pas de gestionnaires de commandes pré-intégrés. Au lieu de cela, il les compile sur l'hôte à partir du code source reçu du serveur C2. « Une caractéristique distinctive d'AGINGFLY par rapport aux malwares similaires est l'absence de gestionnaires de commandes intégrés dans son code. Au lieu de cela, ils sont récupérés du serveur C2 sous forme de code source et compilés dynamiquement à l'exécution », explique CERT-UA. Cette approche offre un payload initial plus petit, des changements de capacités à la demande et une évasion potentielle de la détection statique. Cependant, elle augmente la complexité, dépend de la connectivité C2 et élargit l'empreinte d'exécution, augmentant potentiellement le risque de détection. CERT-UA conseille aux utilisateurs de bloquer l'exécution des fichiers LNK, HTA et JS pour perturber la chaîne d'attaque utilisée dans cette campagne.