## UAC-0247 cible des entités ukrainiennes avec un logiciel malveillant de vol de données Le **Computer Emergencies Response Team of Ukraine (CERT-UA)** a révélé une nouvelle campagne ciblant des institutions gouvernementales et de santé municipales ukrainiennes, y compris des cliniques et des hôpitaux d'urgence. Les attaques délivrent un logiciel malveillant conçu pour voler des données sensibles des navigateurs web basés sur Chromium et de **WhatsApp**. ### Détails de la campagne L'activité malveillante, observée entre mars et avril 2026, a été attribuée à un groupe de menaces baptisé **UAC-0247**. Les origines de cette campagne sont actuellement inconnues. Selon le **CERT-UA**, l'attaque commence par un e-mail prétendant offrir une aide humanitaire. Les destinataires sont invités à cliquer sur un lien qui redirige soit vers un site web légitime compromis via une vulnérabilité de cross-site scripting (XSS), soit vers un faux site créé à l'aide d'outils d'intelligence artificielle (IA). Quel que soit le site, l'objectif est de télécharger et d'exécuter un fichier Windows Shortcut (LNK). Ce fichier exécute ensuite une HTA (HTML Application) à l'aide de l'utilitaire natif de Windows, `mshta.exe`. Le fichier HTA affiche un formulaire leurre pour distraire la victime tout en téléchargeant un binaire qui injecte du shellcode dans un processus légitime, tel que `runtimeBroker.exe`. « Parallèlement, des campagnes récentes ont enregistré l'utilisation d'un chargeur en deux étapes, dont la deuxième étape est implémentée à l'aide d'un format de fichier exécutable propriétaire (avec prise en charge complète des sections de code et de données, importation de fonctions de bibliothèques dynamiques et relocalisation), et la charge utile finale est en outre compressée et chiffrée », a déclaré le **CERT-UA**. L'un des stagers est un outil appelé TCP reverse shell ou son équivalent, suivi sous le nom de **RAVENSHELL**, qui établit une connexion TCP avec un serveur de gestion pour recevoir des commandes à exécuter sur l'hôte à l'aide de `cmd.exe`. La famille de logiciels malveillants **AGINGFLY** et un script **PowerShell** appelé **SILENTLOOP** sont également téléchargés sur la machine infectée. **SILENTLOOP** comprend des fonctions pour exécuter des commandes, mettre à jour automatiquement la configuration et obtenir l'adresse IP actuelle du serveur de gestion à partir d'un canal **Telegram**, avec des mécanismes de repli pour déterminer l'adresse de commande et de contrôle (C2). Développé en C#, **AGINGFLY** est conçu pour le contrôle à distance des systèmes compromis. Il communique avec un serveur C2 en utilisant WebSockets pour récupérer des commandes qui lui permettent d'exécuter des commandes, de lancer un enregistreur de frappe, de télécharger des fichiers et d'exécuter des charges utiles supplémentaires.  ### Exfiltration de données et outils Une enquête sur une douzaine d'incidents a révélé que ces attaques facilitent la reconnaissance, le mouvement latéral et le vol d'identifiants et d'autres données sensibles de **WhatsApp** et des navigateurs basés sur Chromium. Ceci est réalisé en déployant divers outils open-source, notamment : * **ChromElevator** : Un programme conçu pour contourner les protections de chiffrement liées aux applications (ABE) de Chromium et récolter les cookies et les mots de passe enregistrés. * **ZAPiXDESK** : Un outil d'extraction forensique pour déchiffrer les bases de données locales de **WhatsApp** Web. * **RustScan** : Un scanner réseau. * **Ligolo-Ng** : Un utilitaire léger pour établir des tunnels à partir de connexions TCP/TLS inversées. * **Chisel** : Un outil pour tunneliser le trafic réseau sur TCP/UDP. * **XMRig** : Un mineur de cryptomonnaie. ### Ciblage des forces de défense ukrainiennes L'agence a également trouvé des preuves suggérant que des représentants des forces de défense de l'Ukraine pourraient avoir été ciblés dans le cadre de la campagne. Ceci est basé sur la distribution d'archives ZIP malveillantes via **Signal** conçues pour déployer **AGINGFLY** en utilisant la technique de chargement latéral de DLL. ### Atténuation Pour atténuer le risque associé à cette menace et minimiser la surface d'attaque, il est recommandé de restreindre l'exécution des fichiers LNK, HTA et JS, ainsi que des utilitaires légitimes tels que `mshta.exe`, `powershell.exe` et `wscript.exe`.