Malware DirtyMoe
L'augmentation fulgurante de la popularité, stimulée par les gains de valeur encore plus impressionnants réalisés par plusieurs crypto-monnaies différentes, a mis le secteur auparavant de niche sous les projecteurs du public. Les acteurs de la menace ont également remarqué la tendance et ont rapidement réorienté leurs opérations vers l'abus. De nombreux botnets et outils malveillants ont été créés ou équipés de capacités de crypto-mining. Les acteurs de la menace peuvent alors détourner les ressources de milliers de systèmes compromis et les utiliser pour extraire des pièces d'une crypto-monnaie spécifique. L'un des outils malveillants les plus récents et les plus sophistiqués de ce type est le logiciel malveillant DirtyMoe. Jusqu'à présent, la menace a été exploitée contre des cibles en Russie, mais des victimes ont également été détectées dans des pays européens et asiatiques. Selon les chercheurs d'infosec, près de cent mille machines infectées par DirtyMoe sont actuellement actives.
Les versions initiales de DirtyMoe ont été suivies par des chercheurs d'infosec sous le nom de NuggetPhantom et elles étaient souvent instables et facilement détectées par les produits de cybersécurité. Depuis lors, cependant, le malware a subi une évolution significative et est désormais une menace insaisissable et modulaire qui présente de multiples techniques d'anti-détection et d'anti-analyse.
La chaîne d'attaque de DirtyMoe commence par les pirates à la recherche de victimes vulnérables à plusieurs exploits. L'un d'eux est la tristement célèbre vulnérabilité EternalBlue (CVE-2017-0144) qui a émergé en 2017, mais, apparemment, il reste suffisamment de systèmes non sécurisés pour que les acteurs de la menace trouvent qu'il vaut la peine de continuer à en abuser dans leurs opérations nuisibles. Un autre des exploits privilégiés par DirtyMoe est la vulnérabilité de corruption de la mémoire du moteur de script (CVE-2020-0674) trouvée dans Internet Explorer. Les victimes sont attirées via des e-mails de phishing contenant des URL dangereuses.
Structure modulaire
La principale caractéristique du malware DirtyMoe est sa modularité. Le composant principal est DirtyMoe Core. Il est responsable du téléchargement, de la mise à jour, du chiffrement, de la création de sauvegardes et de la protection de la menace DirtyMoe. Le Core est également chargé de fournir un code corrompu au DirtyMoe Executioner, qui, comme son nom l'indique, l'exécutera ensuite. Le code injecté est nommé soit Objet MOE soit Module et est récupéré à partir du serveur Command-and-Control de l'opération.
Le comportement spécifique de la menace malveillante peut en outre être ajusté pour s'adapter aux objectifs des acteurs de la menace. Les cybercriminels peuvent ordonner à DirtyMoe de télécharger une charge utile chiffrée contenant la fonctionnalité souhaitée, puis de l'injecter en elle-même. En quelques heures, des milliers d'instances de DirtyMoe peuvent être modifiées de cette manière. En effet, DirtyMoe peut être utilisé pour lancer des attaques DDoS, effectuer des activités de crypto-mining ou fournir des charges utiles menaçantes supplémentaires, telles que des collecteurs de données, des ransomwares, des chevaux de Troie, etc.
Capacités puissantes de dissimulation et d'autodéfense
DirtyMoe utilise VMProtect pour protéger son principal noyau menaçant. Il utilise également un pilote Windows qui présente plusieurs fonctionnalités généralement trouvées dans les rootkits telles que le service, l'entrée de registre et le masquage de pilote. Le pilote peut en outre recevoir l'instruction de masquer des fichiers spécifiques sur le volume système de la machine infectée ou d'injecter des DLL arbitraires dans tout processus nouvellement créé. La communication réseau est également réalisée grâce à une technique puissante. La menace transporte un ensemble de serveurs DNS codés en dur qu'elle utilise pour envoyer une requête DNS à un domaine codé en dur. Cependant, pour l'adresse IP et le port finaux, DirtyMoe utilise une séquence différente de requêtes DNS. En conséquence, DirtyMoe devient résistant au blocage de son adresse IP finale. Il est également pratiquement irréaliste de bloquer les requêtes DNS vers des serveurs DNS tels que Google, Cloudflare et des services similaires.
