Netcrook Logo
👤 CRYSTALPROXY
🗓️ 27 Mar 2026   🌍 Asia

Leurres numériques et code maladroit : à l’intérieur du cyber-braquage BRUSHWORM contre une banque d’Asie du Sud

Un nouvel ensemble d’outils malveillants en évolution mêle espionnage et erreurs d’amateur pour cibler une grande institution financière.

Dans l’ombre du secteur financier sud-asiatique, une cyberattaque furtive s’est déroulée - fusionnant ruse numérique et erreurs de débutant. Des chercheurs en sécurité ont découvert un kit de malwares sur mesure, baptisé BRUSHWORM et BRUSHLOGGER, qui a récemment infiltré une institution financière de premier plan. L’opération offre un rare aperçu du monde des cybercriminels qui allient créativité décalée, ambition technique et étonnante inexpérience.

Les enquêteurs d’Elastic Security Labs sont tombés sur l’intrusion en surveillant la télémétrie SIEM de l’environnement de la victime. Leurs découvertes dressent le portrait d’un acteur malveillant encore en apprentissage - évident dans des schémas de configuration inachevés, des noms de dossiers mal orthographiés comme “Photoes”, et des versions de test téléchargées sur VirusTotal sous des noms tels que V1.exe et V4.exe. Malgré l’absence de techniques d’évasion avancées, la persistance et les capacités de vol de données du malware en font une menace redoutable pour toute organisation financière.

BRUSHWORM, l’implant principal, se fait passer pour un fichier nommé paint.exe. Il commence par des vérifications anti-analyse basiques, comme la surveillance de la résolution d’écran et la recherche de noms d’utilisateur “sandbox” ou de signatures de machines virtuelles. Au lieu d’abandonner lorsqu’il détecte un environnement virtuel, il se contente de faire une pause - peut-être dans l’espoir de tromper les bacs à sable automatisés. Il s’installe ensuite discrètement, créant des dossiers cachés avec des fautes d’orthographe récurrentes, et chiffre ses données de configuration avec AES, bien que les véritables points de commande et contrôle restent en clair.

La persistance est assurée via des tâches planifiées nommées “MSGraphics” et “MSRecorder”, garantissant la survie de la porte dérobée et de ses modules après redémarrage et connexion utilisateur. Sa conception modulaire laisse entrevoir des extensions futures - capture d’écran ou nouveaux modules de vol de données, par exemple. La fonctionnalité la plus dangereuse ? La capacité d’infecter des clés USB avec des fichiers “leurres” comme Salary Slips.exe, transformant les supports amovibles en porteurs silencieux du malware tout en pillant documents sensibles, feuilles de calcul et même code source pour l’exfiltration.

BRUSHLOGGER, quant à lui, est une DLL 32 bits qui se fait passer pour la bibliothèque légitime libcurl. Il utilise un hook clavier Windows pour enregistrer chaque frappe, en les étiquetant avec les titres de fenêtre et des horodatages. Les journaux sont cachés, faiblement chiffrés avec une clé XOR sur un octet, et stockés sous un nom de fichier basé sur le nom d’utilisateur - offrant une protection superficielle contre la découverte.

Les analystes d’Elastic pensent que le développeur affine encore ces outils, peut-être avec l’aide de l’IA, comme en témoignent la logique incohérente et le code inutilisé. Mais même dans son état brut, ce kit d’outils frappe fort : accès persistant, collecte agressive de fichiers, propagation USB et surveillance granulaire - le tout taillé pour l’espionnage et le vol financier.

L’attaque contre cette institution financière sud-asiatique rappelle crûment que même un malware peu sophistiqué, entre de mauvaises mains, peut menacer le cœur de la finance mondiale. À mesure que les cybercriminels amateurs deviennent plus ambitieux - et plus ingénieux - compter sur leurs erreurs pourrait ne plus suffire pour rester en sécurité.

WIKICROOK

  • Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
  • Chargement latéral de DLL : Le chargement latéral de DLL est une technique où les attaquants trompent des programmes pour qu’ils chargent des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Enregistrement des frappes (Keylogger) : L’enregistrement des frappes (keylogger) capture secrètement les frappes clavier des utilisateurs, souvent pour voler des données sensibles comme des mots de passe ou des numéros de carte bancaire.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
Cyber Heist BRUSHWORM Financial Espionage
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news