CSPY Downloader

Description de CSPY Downloader

Le CSPY Downloader est un nouveau malware de téléchargement sur mesure qui a été observé comme étant déployé dans le cadre de l'arsenal du groupe de hackers nord-coréen Kimsuky. Le CSPY Downloader joue le rôle d'un dropper de logiciels malveillants de première étape qui fournit la charge utile de logiciels malveillants de deuxième étape. Le CSPY Downloader exécute également une large gamme de techniques anti-analyse et anti-bac à sable conçues pour empêcher toute tentative d'analyse des échantillons menaçants.

Le CSPY Downloader est propagé via des e-mails de phishing contenant des documents Word empoisonnés. Le document spécifique est conçu pour attirer l'attention de l'utilisateur ciblé en déclarant qu'il contient une interview avec un transfuge nord-coréen qui traite des difficultés de la vie dans le pays. Une fois exécutées, les macros menaçantes injectées dans la doc sont déclenchées. Ils déposent et exécutent le CSPY Downloader sous forme de fichier nommé «winload.exe» sur l'ordinateur de la victime.

Le 'fichier winload.exe' est emballé avec UPX et sa date d'horodatage est décalée vers l'arrière au 30 juillet 2016. Il est signé avec un certificat expiré attribué à EGIS Co., Ltd, une entité qui a déjà été liée au pirate Kimsuky groupe.

Le CSPY Downloader exécute des techniques anti-analyse étendues

Avant de procéder à la livraison des charges utiles du malware de deuxième étape, le CSPY Downloader s'assure qu'il n'est pas exécuté dans un environnement de machine virtuelle. Le téléchargeur effectue certaines des mêmes vérifications que les scripts initiaux du document Word militarisé ont déjà effectué, montrant l'engagement des pirates à garder secrets leurs outils malveillants. CSPY effectue une analyse des modules spécifiques liés à la virtualisation, des chemins de fichiers spécifiques, des clés de registre et de la mémoire. Il vérifie également le processus de la structure PEB. Si toutes les analyses ne trouvent aucune correspondance, le téléchargeur CSPY passera à sa programmation suivante; sinon, il met fin à son exécution.

Trois fichiers sont déposés sur la machine compromise par CSPY - un fichier exécutable principal et deux modules malveillants potentiels. Les trois charges utiles sont téléchargées initialement dans le dossier% temp%, mais sont renommées et déplacées rapidement vers différents emplacements. Lors du lancement de la charge utile principale du logiciel malveillant, CSPY tente de le déguiser en service Windows légitime en prétendant faussement qu'il est nécessaire pour prendre en charge les applications empaquetées. Pour exécuter le binaire menaçant avec des privilèges élevés, le téléchargeur utilise une technique qui lui permet de contourner le service de contrôle de compte d'utilisateur Windows (UAC) en exploitant la tâche SilentCleanup.

Lorsque le CSPY Downloader a terminé ses tâches, il se supprime simplement de la machine compromise.