ShellClient Malware

Les chercheurs d'Infosec ont découvert un nouveau malware d'espionnage qui fait partie de la boîte à outils d'un acteur de menace non divulgué auparavant. Nommée ShellClient, la menace est un cheval de Troie d'accès à distance (RAT) qui semble n'être déployé que dans des opérations de cyberespionnage hautement ciblées.

Nouvel acteur menaçant

Le malware ShellClient est attribué à un groupe de cybercriminalité distinct qui est suivi sous le nom de MalKamak. On pense que les pirates sont responsables d'une série d'attaques de reconnaissance ciblées contre des cibles d'une multitude de pays différents, notamment les États-Unis, la Russie, les membres de l'UE et les pays du Moyen-Orient. L'objectif des pirates semble être l'acquisition d'informations hautement sensibles à partir d'une poignée de cibles spécifiquement choisies. Certains chevauchements dans le code, les conventions de dénomination et les techniques utilisées indiquent que MalKamak est un groupe de cybercriminalité d'État-nation ayant des liens avec l'Iran.

Fonctionnalité et évolution menaçantes

Le malware ShellClient est conçu pour être particulièrement furtif, assurant une présence prolongée sur les machines compromises. La menace se déguise en "RuntimeBroker.exe". Le processus légitime est responsable de la gestion des autorisations pour les applications du Microsoft Store.

Les premières versions du malware remontent à 2018, mais à l'époque, ShellClient était une menace très différente - juste un simple shell inversé autonome. Au cours des années suivantes, les pirates de MalKamak ont publié plusieurs versions du logiciel malveillant, le transformant de plus en plus en un RAT à part entière à chaque fois. Par exemple, l'itération 4.0 comprenait un meilleur obscurcissement du code, l'utilisation du packer Costura, la suppression du domaine C2 utilisé depuis 2018 et l'ajout d'un client Dropbox. Reste à savoir si le développement de la menace a atteint un point final.