Exaramel

L'outil de piratage Exaramel est une menace, qui a récemment été détectée dans l'une des campagnes du groupe de piratage TeleBots. Lorsqu'ils ont étudié la menace, les chercheurs en programmes malveillants ont constaté que le programme malveillant Exaramel ressemblait beaucoup à un autre outil de piratage de l'arsenal du groupe TeleBots appelé Industroyer. Le groupe de piratage téléphonique TeleBots a été très actif ces dernières années et a fait la une de nombreux titres avec ses campagnes menaçantes. Son opération la plus célèbre a eu lieu en 2015 et les a impliqués, provoquant une panne d'électricité qui n'avait jamais été réalisée auparavant avec des logiciels malveillants. Le groupe TeleBots est également à l'origine du tristement célèbre Petya Ransomware , qui sévit sur le Web pendant un certain temps. La menace verrouillerait le MBR (Master Boot Record) du disque dur sur le système ciblé.

Livré en charge utile secondaire

Le malware Exaramel est un cheval de Troie de porte dérobée et est déployé en tant que malware de deuxième étape. Un autre outil de piratage du groupe TeleBots aide la menace Exaramel à être livrée à l'hôte en la dissimulant au-delà des mesures de sécurité de l'ordinateur. La charge utile de la première étape, qui aide le logiciel malveillant Exaramel à compromettre le système, permet également de détecter tout logiciel ou outil pouvant être lié au débogage du logiciel malveillant. Si les résultats du test sont positifs, l’attaque sera interrompue. Cela réduira les chances que les chercheurs en programmes malveillants mettent la main sur la porte dérobée d'Exaramel et la dissèquent. Toutefois, si l'attaque se poursuit, les fichiers de la porte dérobée Exaramel seront injectés dans le dossier Windows. Ensuite, la menace s'assurera qu'un nouveau service appelé 'wsmprovav' est lancé au démarrage du système. Ce service est décrit en tant que "Windows Checked AV", ce qui le fait ressembler à un service légitime et ne fait pas partie d'une opération malveillante.

Les capacités

La clé de registre Windows stocke toutes les configurations du logiciel malveillant Exaramel, ce qui n’est pas une technique très courante. Le cheval de Troie de porte dérobée est informé du chemin de stockage des fichiers téléchargés, des détails du proxy, des données concernant le serveur C & C (Command & Control), et permet à la menace d'effectuer une vérification Web de base. Le cheval de Troie de porte dérobée Exaramel est capable de:

• Exécution de scripts VBS.
• Écrire des fichiers sur le système local.
• Logiciel en cours d'exécution.
• Téléchargement de fichiers sur le chemin de stockage mentionné précédemment.
• Exécuter des commandes shell.

Le groupe de piratage TeleBots utilisait souvent le cheval de Troie de porte dérobée Exaramel à l’unisson avec les outils de piratage CredRaptor et Mimikatz . Les auteurs du programme malveillant Exaramel ont également développé une version de la menace écrite dans le langage de programmation Go, qui permet à l’outil de piratage de cibler les serveurs et les systèmes Linux.