CostaBricks

CostaBricks est un chargeur sur mesure utilisé pour fournir la version 32 bits du malware SombRAT Backdoor. Les deux outils font partie de l'arsenal d'un groupe de hackers nommé CostaRicto qui opère en tant que mercenaire à la location. Pour CostaBricks, les pirates ont créé une implémentation unique d'un mécanisme de machine virtuelle chargé d'exécuter un bytecode intégré qui décode et injecte la charge utile finale en mémoire. Ce mécanisme de machine virtuelle est composé d'objets et de classes C ++ et a 20 instructions différentes qui ont chacune entre zéro et trois opérandes. Le but de cette méthode est d'augmenter l'obscurcissement des activités menaçantes exercées par la menace. D'autres mesures anti-analyse trouvées dans la menace incluent le code entier et non masqué d'une application open source légitime nommée Blink. Ce code n'est jamais exécuté.

Le bytecode utilisé par CostaBricks est resté identique dans les différents échantillons de la menace qui ont été analysés par les experts infosec de BlackBerry. Il fait exactement 1800 lignes, mais la plupart sont simplement des peluches qui ont été insérées à des fins d'obfuscation. La programmation réelle du bytecode est responsable du décodage de la charge utile du malware intégré, de son chargement dans la mémoire du système compromis, puis de son exécution. La charge utile est déchiffrée via un algorithme symétrique personnalisé avec des clés codées en dur qui peuvent être décrites comme une combinaison de SHL / SHR / SUB / ADD / XOR.