Devis de remise multi-licences
Données concernant les menaces Outils d'administration à distance Campagne de logiciels malveillants à double charge utile

Campagne de logiciels malveillants à double charge utile

Par Mezo en Outils d'administration à distance, Logiciel publicitaire
Se traduisent par :

Une campagne de logiciels malveillants récemment découverte suscite une vive inquiétude au sein de la communauté de la cybersécurité en raison de sa capacité à déployer simultanément deux menaces distinctes. Un unique chargeur obfusqué est utilisé pour installer à la fois le RAT Gh0st et CloverPlus sur un même système compromis.

Cette combinaison est à la fois rare et hautement stratégique. Gh0st RAT permet un contrôle total à distance de la machine infectée, tandis que CloverPlus se concentre sur la manipulation de l'activité du navigateur, l'injection de composants publicitaires et la génération de revenus via des fenêtres contextuelles intrusives. Ce double déploiement permet aux acteurs malveillants de maintenir un accès non autorisé persistant tout en monétisant l'infection en temps réel.

Cette campagne met en lumière une tendance croissante à la distribution de charges utiles multiples, où les attaquants maximisent l'efficacité opérationnelle et le retour financier d'une seule compromission.

Techniques d’obfuscation : Dissimuler la charge utile

Le module de chargement au cœur de cette campagne est conçu pour la furtivité. Il intègre deux charges utiles cryptées dans sa section de ressources, utilisant des techniques d'obfuscation pour contourner les mécanismes de détection traditionnels.

L'exécution commence par le module publicitaire CloverPlus, identifié comme AdWare.Win32.CloverPlus et associé à un fichier exécutable nommé wiseman.exe. Ce composant modifie les paramètres de démarrage du navigateur et injecte des publicités pop-up persistantes.

Ensuite, le chargeur évalue son chemin d'exécution. S'il n'opère pas depuis le répertoire %temp% du système, il y crée une copie de lui-même avant de poursuivre. L'étape suivante consiste à déchiffrer le module client Gh0st RAT, également dissimulé sous forme de ressource chiffrée au sein du binaire du logiciel malveillant.

Une fois déchiffré, le logiciel malveillant attribue un nom de fichier aléatoire à la charge utile et la stocke dans un dossier au nom aléatoire situé à la racine du lecteur C:\, ce qui complique encore davantage la détection et l'analyse.

Vivre de la terre : outils fiables, intentions malveillantes

Pour exécuter la charge utile déchiffrée, le logiciel malveillant exploite l'utilitaire légitime Windows rundll32.exe. Cette approche permet l'exécution de code malveillant sous couvert d'un processus système de confiance, réduisant considérablement le risque de déclenchement des défenses de sécurité.

Une fois activé, Gh0st RAT commence à profiler le système compromis en collectant des identifiants uniques tels que l'adresse MAC et le numéro de série du disque dur. Ces informations servent à enregistrer la victime au sein de l'infrastructure de commande et de contrôle de l'attaquant, garantissant ainsi un suivi et une gestion précis des hôtes infectés.

Mécanismes de persistance : garantir un accès à long terme

Maintenir l'accès après un redémarrage du système est un objectif clé de cette campagne. Le RAT Gh0st assure sa persistance grâce à de multiples techniques intégrées profondément au sein du système d'exploitation :

Modification de la clé de registre Windows Run pour garantir son exécution automatique au démarrage
Enregistrement d'une DLL malveillante dans le chemin d'accès du service d'accès à distance sous SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Ces méthodes confèrent au logiciel malveillant des privilèges de niveau SYSTÈME à chaque lancement du service associé, éliminant ainsi le besoin d'interaction ultérieure de l'utilisateur et renforçant le contrôle à long terme.

Détection et défense : indicateurs de compromission

L'impact de cette campagne est considérable, tant pour les particuliers que pour les organisations. Tandis que le logiciel publicitaire perturbe le fonctionnement du navigateur et accroît l'exposition aux publicités malveillantes, le logiciel d'accès à distance (RAT) permet le vol de données, l'enregistrement des frappes au clavier, le contournement des mesures de sécurité et un accès privilégié persistant.

Les équipes de sécurité doivent rester vigilantes et surveiller les indicateurs de compromission suivants :

  • Exécution de rundll32.exe chargeant des DLL ou des extensions de fichiers non standard à partir de répertoires inhabituels ou suspects
  • Activité du processus provenant du dossier %temp%
  • Modifications non autorisées des clés d'exécution du registre ou des configurations du service RemoteAccess
  • Utilisation de délais basés sur le ping pour contourner la détection du sandbox
  • Des schémas de trafic DNS anormaux et des modifications inattendues du fichier hosts système

La surveillance proactive et la réponse rapide à ces signaux sont essentielles pour atténuer les risques posés par cette campagne de logiciels malveillants sophistiquée à double menace.

Tendance

Confirmation de la nouvelle mise à jour de sécurité...

Hameçonnage, Courrier indésirable
Les courriels inattendus exigeant une action urgente doivent toujours être traités avec prudence. Les cybercriminels dissimulent fréquemment des messages malveillants sous forme de notifications légitimes afin d'exploiter la confiance et de semer la panique. Il est essentiel de comprendre que les arnaques telles que les courriels « Confirmer une nouvelle mise à jour de sécurité de la...

Le plus regardé

Chargement...