Entre autres choses, PowerLess peut voler des données utilisateur de l’application de bureau Telegram, prendre des captures d’écran et est très difficile à détecter.

Avec le logiciel malveillant « PowerLess », les pirates peuvent désormais également voler des données Telegram, prendre des captures d’écran et enregistrer de l’audio. Une analyse de la nouvelle variante PowerLess indique également que les attaquants utilisent les tendances populaires pour éviter d’être détectés. Cela inclut, entre autres, l’utilisation de fichiers d’archives et d’images ISO.

PowerLess – un malware évolue

Bien que PowerLess ne soit pas un malware inconnu, il n’a jamais été aussi dangereux qu’aujourd’hui. C’est ce que montre une analyse actuelle de Check Point Research. Le groupe de hackers iranien Mint Sandstorm (également connu sous le nom de Phosphorus, APT35, APT42, Charming Kitten et TA453) utilise PowerLess depuis un certain temps. Cependant, la fonctionnalité du logiciel malveillant a été très limitée jusqu’à présent.

Un groupe de pirates surnommé le « Manticore éduqué » a maintenant commencé à mener des cyberattaques contre des cibles israéliennes de premier plan. Les experts en sécurité de la société israélienne Check Point ont découvert que les pirates utilisent également le malware PowerLess. Cependant, cela a été considérablement amélioré.

Manticore instruit – une fonctionnalité améliorée rend l’analyse plus difficile

Educated Manticore a considérablement amélioré l’ensemble d’outils du malware en utilisant des techniques rarement vues. Surtout, cela inclut l’utilisation de fichiers .NET exécutables qui sont construits comme des assemblages en mode mixte – un mélange de code .NET et C++ natif. Cela augmente la fonctionnalité de l’outil et rend plus difficile l’analyse et la détection des logiciels malveillants.

Les experts en sécurité d’Israël en sont certains : « Bien que la nouvelle charge utile PowerLess soit similaire, les mécanismes de chargement ont été grandement améliorés grâce à l’utilisation de techniques rarement trouvées dans la nature, telles que l’utilisation de binaires .NET construits en mode mixte avec du code d’assemblage..”

A cela s’ajoutent les fonctionnalités avancées du malware. Alors qu’il n’y avait que cinq options dans la première version, il y en a aujourd’hui plus du double. Les nouvelles fonctions comprennent, entre autres, l’affichage d’une liste des programmes installés. Mais aussi un aperçu des processus en cours et l’affichage d’une liste de fichiers. De même, le vol de données utilisateur de l’application de bureau Telegram et la prise de captures d’écran devraient permettre aux attaquants d’espionner plus facilement leurs victimes.

La version récemment découverte de PowerLess est très probablement destinée aux attaques de phishing contre l’Irak et utilise un fichier ISO pour démarrer la chaîne d’infection. Les autres documents du fichier ISO étaient en hébreu et en arabe. Cela suggère que les attaques visent des cibles israéliennes.