KingOfHearts

KingOfHearts est une porte dérobée écrite en C ++ qui fait partie de l'ensemble d'outils d'un acteur de menace sophistiqué sans nom. On a observé que le même groupe de pirates utilisait trois familles de logiciels malveillants différentes dans leurs opérations. L'une de ces familles, SlothfulMedia, a fait l'objet d'un rapport publié par l'agence CISA du Department of Homeland Security.

À la base, KingOfHearts est équipé de toutes les fonctions de base attendues d'une menace de porte dérobée sans rien de trop compliqué. Il possède cependant un utilitaire personnalisé pour capturer des captures d'écran. En dehors de cela, il peut exécuter des commandes sur l'ordinateur compromis, accéder à la liste des processus en cours d'exécution avec la possibilité de mettre fin à l'un d'entre eux, ainsi que des capacités de manipulation du système de fichiers.

KingOfHearts est très probablement distribué par des attaques de phishing par courrier électronique avec des pièces jointes de documents Word empoisonnées. Une fois exécutés, ces documents lancent un script PowerShell chargé de télécharger une image portant une charge utile de malware encodée en base 64. KingOfHearts a été observé comme étant supprimé à la fois en tant que fichier « .exe » ou « .dll ». La communication avec l'infrastructure de commande et de contrôle (C2, C&C) est établie via HTTP (S).

Selon les chercheurs qui l'ont analysé, KingOfHearts est équipé de fonctionnalités anti-débogage et de détection de virtualisation.