Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité.
Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM.
Côté impact et monétisation, LeeMe exfiltre les données (mots de passe, informations financières, etc.) via les APIs Telegram et par téléversements GoFile, tout en exigeant une rançon de 0,46900 BTC.
Indicateurs et artefacts observés:
- Hébergement/livraison: GoFile (archives protégées par mot de passe)
- Canaux d’exfiltration: APIs Telegram, GoFile
Tactiques, techniques et procédures (TTPs) 🧰:
- Ingénierie sociale: faux installeur SAP Ariba et incitation à désactiver la sécurité
- Phishing via comptes email compromis avec liens vers archives protégées
- Chiffrement: AES-256, extensions de fichiers randomisées
- Keylogging: bibliothèque pynput
- Vol d’identifiants: recherche de fichiers via mots-clés sensibles
- Persistance: Run/Autorun, tâches planifiées
- Evasion: bypass Windows Defender
- Accès à distance: SSH / WINRM
- Exfiltration: Telegram APIs et GoFile
Type d’article: analyse de menace visant à documenter la campagne LeeMe et ses TTPs.
🧠 TTPs et IOCs détectés
TTPs
[‘Ingénierie sociale: faux installeur SAP Ariba et incitation à désactiver la sécurité’, ‘Phishing via comptes email compromis avec liens vers archives protégées’, ‘Chiffrement: AES-256, extensions de fichiers randomisées’, ‘Keylogging: bibliothèque pynput’, ‘Vol d’identifiants: recherche de fichiers via mots-clés sensibles’, ‘Persistance: Run/Autorun, tâches planifiées’, ‘Evasion: bypass Windows Defender’, ‘Accès à distance: SSH / WINRM’, ‘Exfiltration: Telegram APIs et GoFile’]
IOCs
[‘Hébergement/livraison: GoFile (archives protégées par mot de passe)’, ‘Canaux d’exfiltration: APIs Telegram, GoFile’]
🔗 Source originale : https://cofense.com/blog/this-sap-ariba-quote-isn-t-what-it-seems-it-s-ransomware