Grinju Downloader

Le Grinju Downloader, comme son nom l'indique, est un logiciel malveillant de type téléchargeur. Cela signifie que son rôle dans la chaîne d'attaque est d'agir comme un compte-gouttes de premier niveau chargé de fournir la charge utile réelle après que l'ordinateur ciblé a déjà été compromis. Ce compte-gouttes particulier présente des caractéristiques uniques en matière de mesures anti-analyse et anti-détection.

À la base, le Grinju Downloader est un malware basé sur des macros diffusé via des fichiers Excel empoisonnés. Contrairement à d'autres menaces similaires, cependant, aucun code VBA ne peut être analysé car tout le code est contenu dans la feuille de calcul elle-même répartie sur des milliers de lignes et de nombreuses cellules. Pour faire fonctionner cette méthode, les pirates ont exploité une ancienne fonctionnalité d'Excel - la création d'une feuille «macro» où des fonctions macro pouvaient être ajoutées directement aux cellules. En effet, lorsque l'utilisateur ouvrira ce fichier corrompu, deux feuilles y seront présentes. Le premier, qui est présenté à l'utilisateur, est appelé « Sheet1 » et contient diverses données qui vont être utilisées par les fonctions macro pour exécuter l'agenda menaçant de la menace. La deuxième feuille est la «macro», et elle contient toutes les fonctions de macro qui doivent être exécutées dans l'ordre. Il s'appelle «ij3Lv».

Des techniques uniques de furtivité et anti-analyse sont présentes dans le Grinju Downloader

L'ouverture de la deuxième feuille présentera initialement un écran de cellule vide, même si elle est complètement réduite. Pour trouver où les fonctions commencent, les utilisateurs devront faire défiler jusqu'à R3887C240 - ligne 3887, colonne 40. Parmi les diverses fonctions, une quantité considérable est consacrée à entraver les tentatives d'analyse des chercheurs infosec. Le téléchargeur Grinju est capable de vérifier si une souris est présente, de déterminer si la largeur et la hauteur de la fenêtre de travail dépassent des tailles spécifiques, si le système est capable de jouer des sons, et de vérifier si la macro est exécutée en une seule étape. Tous ces indicateurs pourraient être des signes potentiels que Grinju est exécuté dans un environnement sandbox.

À un moment précis de son fonctionnement, Grinju entre dans une boucle basée sur une instruction «If». Au cours de chaque cycle, les valeurs sont incrémentées de un, et si la condition retourne comme «Vrai», Grinju continue à former le groupe d'instructions suivant.

Une technique particulièrement sinistre réalisée par Grinju Downloader est la menace de désactivation de l'avertissement «Activer le contenu». La première étape pour y parvenir est la création d'un fichier texte avec un seul caractère - «1», qui est déposé dans le dossier Temp. La signification de cette valeur devient évidente lors de l'observation de la fonction suivante. Il ouvre le registre, accède à la ruche des avertissements de sécurité Excel et y écrit la valeur extraite du fichier texte. Cela signifie que toutes les macros seront désormais exécutées automatiquement, sans aucun signe d'avertissement affiché à l'utilisateur.

Le Grinju Downloader vérifie l'environnement dans lequel il s'exécute et s'il détecte autre chose que Windows, il met simplement fin à son exécution. Il détermine également si le système Windows a une architecture 32 bits ou 64 bits, ce qui entraîne l'extraction de différents codes à partir de la feuille macro Excel. La dernière étape de la programmation des logiciels malveillants consiste à déposer un script dans le chemin « Local \ Temp \ Nvf.vbs » responsable du téléchargement et de l'exécution de la charge utile du programme malveillant de deuxième étape, qui est fournie sous la forme d'un fichier nommé « ZsQrgSU.html . '

Les hackers derrière le Grinju Downloader démontrent que même des techniques quelque peu anciennes pourraient donner des résultats étonnamment efficaces.