Threat Database Malware SnatchLoader

SnatchLoader

SnatchLoader est connu comme un logiciel malveillant de téléchargement - il est responsable de la diffusion de menaces de logiciels malveillants supplémentaires sur une machine qu'il a déjà réussi à compromettre. Le développement de SnatchLoader a connu une période de faible activité, mais la menace a été observée dans le cadre de campagnes d'attaque actives telles que la livraison du cheval de Troie bancaire Ramnit. Bien que n'étant pas unique, une caractéristique curieuse de ce logiciel malveillant de téléchargement est qu'il est équipé d'un "blocage géographique''. En pratique, cela se traduit par l'exécution du malware dans certains pays, tandis que dans d'autres, il se termine simplement de lui-même. Les chercheurs qui ont analysé un échantillon de SnatchLoader ont déterminé que le Royaume-Uni et l'Italie figuraient parmi les cibles viables, tandis que les utilisateurs en France, aux États-Unis et à Hong Kong étaient en sécurité.

Pour effectuer des appels d'API Windows, SnatchLoader utilise un hachage de nom de fonction au moment de l'exécution. Quant à la gestion de la communication avec son infrastructure de Command-and-Control (C2, C&C), elle utilise HTTPS. Quatre types de demandes différents ont été isolés par les chercheurs d'Infosec.

Tout d'abord, SnatchLoader fait une requête «get dynamic config», suivie d'une requête «send system information». Dans cette étape, le malware envoie diverses données système au serveur des pirates. Parmi les données exfiltrées figurent des détails tels que les versions de Windows, l'architecture, le nom d'utilisateur, le nom de l'ordinateur, l'agent utilisateur, la liste des processus, etc.
Pour vérifier les commandes des pirates, SnatchLoader fait une demande de «sondage de commande». En raison de sa nature de chargeur, les commandes sont principalement destinées à diverses manières de télécharger et d'exécuter des modules malveillants supplémentaires - exécutés normalement, injectés dans explorer.exe ou exécutés via rundll32. Les chercheurs ont également observé une fonctionnalité de plugin de SnatchLoader pour une menace de crypto-minage Monero. La dernière requête adressée au C2 est utilisée pour envoyer les résultats de l'exécution d'une commande spécifique.

Tendance

Le plus regardé

Chargement...