Logiciel malveillant SnappyClient
SnappyClient est un logiciel malveillant très sophistiqué, écrit en C++ et distribué via un chargeur appelé HijackLoader. Fonctionnant comme un cheval de Troie d'accès à distance (RAT), il permet aux cybercriminels de prendre le contrôle de systèmes compromis et d'en extraire des données sensibles. Une fois installé sur un appareil, le logiciel malveillant se connecte à un serveur de commande et de contrôle (C2) pour recevoir des instructions et exécuter des opérations malveillantes.
Table des matières
Techniques d’évasion et manipulation du système
Pour rester indétectable, SnappyClient interfère avec les mécanismes de sécurité intégrés de Windows. Une de ses principales tactiques consiste à altérer l'interface d'analyse anti-malware (AMSI), chargée d'analyser les scripts et le code à la recherche de comportements malveillants. Au lieu de laisser l'AMSI signaler les menaces, le logiciel malveillant manipule ses résultats afin que les activités malveillantes apparaissent comme inoffensives.
Le logiciel malveillant s'appuie également sur une liste de configuration interne qui détermine son comportement. Ces paramètres définissent les données collectées, leur emplacement de stockage, le mode de persistance et la poursuite de l'exécution sous certaines conditions. Cette configuration garantit que le logiciel malveillant reste actif même après un redémarrage du système.
De plus, SnappyClient récupère deux fichiers chiffrés depuis des serveurs contrôlés par l'attaquant. Ces fichiers, stockés dans un format dissimulé, servent à contrôler dynamiquement le fonctionnement du logiciel malveillant sur le système infecté.
Capacités étendues de contrôle du système
SnappyClient offre aux attaquants un contrôle étendu sur les appareils compromis. Il peut capturer des captures d'écran et les transmettre à des opérateurs distants, leur permettant ainsi d'observer directement l'activité des utilisateurs. Ce logiciel malveillant permet également une gestion complète des processus, autorisant les attaquants à surveiller, suspendre, reprendre ou arrêter les processus en cours d'exécution. De plus, il prend en charge l'injection de code dans les processus légitimes, ce qui lui permet d'opérer discrètement au sein du système.
La manipulation du système de fichiers est une autre de ses fonctionnalités essentielles. Le logiciel malveillant peut parcourir les répertoires, créer ou supprimer des fichiers et des dossiers, et effectuer des opérations telles que la copie, le déplacement, le renommage, la compression ou l'extraction d'archives, même celles protégées par mot de passe. Il peut également exécuter des fichiers et analyser les raccourcis.
Fonctions de vol de données et de surveillance
L'un des principaux objectifs de SnappyClient est l'exfiltration de données. Il intègre un enregistreur de frappe qui enregistre les frappes au clavier et envoie les données capturées aux attaquants. De plus, il extrait un large éventail d'informations sensibles des navigateurs et autres applications, notamment les identifiants de connexion, les cookies, l'historique de navigation, les favoris, les données de session et les informations relatives aux extensions.
Le logiciel malveillant peut également rechercher et dérober des fichiers ou des répertoires spécifiques en fonction de filtres définis par l'attaquant, tels que les noms de fichiers ou les chemins d'accès. Outre l'exfiltration de données, il est capable de télécharger des fichiers depuis des serveurs distants et de les stocker localement sur la machine infectée.
Fonctionnalités avancées d’exécution et d’exploitation
SnappyClient prend en charge plusieurs méthodes d'exécution de charges utiles malveillantes. Il peut exécuter des fichiers exécutables standard, charger des bibliothèques de liens dynamiques (DLL) ou extraire et exécuter du contenu à partir de fichiers archivés. Il permet également aux attaquants de définir des paramètres d'exécution tels que les répertoires de travail et les arguments de ligne de commande. Dans certains cas, il tente de contourner le contrôle de compte d'utilisateur (UAC) pour obtenir des privilèges élevés.
Parmi ses autres caractéristiques notables figure la possibilité de lancer des sessions de navigation cachées, permettant ainsi aux attaquants de surveiller et de manipuler l'activité web à l'insu de l'utilisateur. Il offre également une interface en ligne de commande pour exécuter des commandes système à distance. La manipulation du presse-papiers constitue une autre fonction dangereuse, souvent utilisée pour remplacer les adresses de portefeuilles de cryptomonnaies par celles contrôlées par les attaquants.
Applications et sources de données ciblées
SnappyClient est conçu pour extraire des informations d'un large éventail d'applications, notamment les navigateurs Web et les outils de cryptomonnaie.
Les navigateurs Web ciblés incluent :
Navigateur 360, Brave, Chrome, CocCoc, Edge, Firefox, Opera, Slimjet, Vivaldi et Waterfox
Les portefeuilles et outils de cryptomonnaies ciblés comprennent :
Coinbase, Metamask, Phantom, TronLink, TrustWallet
Atomic, Bitcoin Core, Coinomi, Electrum, Exodus, Ledger Live, Trezor Suite et Wasabi
Ce ciblage à grande échelle augmente considérablement le risque de vol financier et de compromission d'identifiants.
Méthodes de distribution trompeuses
SnappyClient se propage principalement par des techniques de diffusion trompeuses conçues pour inciter les utilisateurs à exécuter des fichiers malveillants. Une méthode courante consiste à utiliser de faux sites web se faisant passer pour des entreprises de télécommunications légitimes. Lorsqu'on visite ces sites, HijackLoader est téléchargé discrètement sur l'appareil de la victime. Une fois exécuté, ce programme déploie SnappyClient.
Une autre tactique de détournement exploite les plateformes de médias sociaux comme Twitter. Les attaquants publient des liens ou des instructions incitant les utilisateurs à lancer des téléchargements, parfois à l'aide de techniques telles que ClickFix. Ces actions aboutissent à l'exécution de HijackLoader et à l'installation du logiciel malveillant.
Les risques et l’impact de l’infection
SnappyClient représente une menace sérieuse pour la cybersécurité en raison de sa furtivité, de sa polyvalence et de ses nombreuses fonctionnalités. Une fois déployé, il permet aux attaquants de surveiller l'activité des utilisateurs, de voler des informations sensibles, de manipuler le fonctionnement du système et d'exécuter des charges utiles malveillantes supplémentaires.
Les conséquences de telles infections peuvent être graves, notamment le piratage de comptes, l'usurpation d'identité, les pertes financières, d'autres infections par des logiciels malveillants et la compromission à long terme du système.
