IceRAT Malware

IceRAT est une souche de malware particulière qui présente des caractéristiques rarement, voire jamais vues auparavant. Le principal aspect qui distingue cette menace du reste est qu'elle est écrite en JPHP, une implémentation PHP exécutée sur Java VM. Au lieu des fichiers Java .class courants, JPHP utilise des fichiers .phb. Cela fait une différence radicale dans la détection de la menace car le nombre de solutions anti-malware prenant en charge .phb est extrêmement faible. En ce qui concerne les capacités de la menace, bien qu'IceRAT ait littéralement RAT (Remote Access Trojan) dans son nom, il agit davantage comme un malware de porte dérobée et non comme un logiciel permettant aux attaques de contrôler à distance le système compromis. Il convient de noter qu'être écrit en JPHP a également créé des défis uniques pour les chercheurs infosec qui ont essayé d'analyser la menace car il n'y a pas d'outils facilement disponibles capables de décompiler le code JPHP.

L'architecture d'IceRAT est également choisie comme méthode pour réduire le potentiel de détection. Au lieu de mettre toutes les fonctionnalités menaçantes dans un seul fichier, les pirates informatiques responsables de la menace l'ont conçue comme un ensemble de plusieurs composants individuels, chacun étant chargé de l'exécution d'une fonction de signal. En effet, si le composant de téléchargement est découvert; par exemple, il pourrait être négligé sans le contexte de la charge utile menaçante, le fichier peut apparaître comme bénin.

La chaîne d'attaque de l'infection IceRAT est assez complexe, impliquant plusieurs stades et plusieurs compte-gouttes. L'étape initiale voit la livraison d'une archive WinRAR auto-extractible nommée Browes.exe sur le système ciblé. Une fois exécutée, l'archive supprime et démarre un fichier Windows Cabinet nommé «1.exe», qui est un autre compte-gouttes qui à son tour délivre deux fichiers - un fichier de configuration pour le logiciel CryptoTab et un téléchargeur menaçant nommé «cheats.exe». On pense que le logiciel CryptoTab, bien que possédant des capacités de cryptomining, est livré sur la cible pour servir de leurre. Le «cheats.exe», d'autre part, est l'agent qui récupère et déploie finalement le composant principal d'IceRAT Malware - klient.exe. Le fichier sera déposé dans trois emplacements distincts:

• % APPDATA% \ Microsoft \ Windows \ Menu Démarrer \ Programmes \ Démarrage \. .exe
• c: \ Windows \ Temp \. .exe
• d: \ Windows \ Temp \ .exe

IceRAT a établi une connexion avec son infrastructure de commande et de contrôle et, en cas de succès, procède à la récupération d'une multitude de modules malveillants supplémentaires. Il déploie un collecteur capable de récolter les informations d'identification d'une multitude de navigateurs Web: Chrome, Firefox, Chromium, Yandex, Filezilla, Amigo, kometa, K-Melon et Orbitum. La menace délivre un crypto-mineur en récupérant d'abord un téléchargeur de coinminer sur la cible. Un composant supplémentaire est lancé pour établir un canal de communication avec l'acteur de la menace via Telegram.

Alors que plusieurs des composants menaçants d'IceRAT sont écrits dans des langages de programmation plus courants et peuvent être facilement détectés par des solutions anti-malware, le fait demeure que le langage JPHP exotique du module principal entraîne des taux de détection extrêmement bas.