StyleServ
StyleServ est classé comme un type de malware connu sous le nom de porte dérobée, qui joue un rôle spécifique dans le domaine des cybermenaces. Les logiciels malveillants de type porte dérobée sont spécifiquement conçus pour remplir une double fonction : premièrement, ils préparent un système compromis à une infiltration plus étendue, et deuxièmement, ils facilitent l'exécution des étapes ultérieures de l'infection. Ces étapes ultérieures impliquent souvent le téléchargement et l’installation de programmes ou de composants dangereux supplémentaires sur le système infecté.
Dans le cas de StyleServ, les objectifs précis qu’il poursuit sont actuellement entourés d’incertitudes. Néanmoins, il est fort probable que sa fonction première soit de servir d’outil préparatoire dans le cadre d’une stratégie de cyberattaque plus large. Cela suggère que le rôle principal de StyleServ est de créer les conditions nécessaires pour que des formes plus avancées de logiciels malveillants s'infiltrent et compromettent davantage le système cible.
Les infections StyleServ pourraient avoir des conséquences désastreuses
Il est fort probable que StyleServ joue un rôle essentiel dans le contexte des réseaux infiltrés, principalement en effectuant des analyses pour identifier les informations pouvant être exploitées pour poursuivre l'attaque. Cela inclut l’identification des vulnérabilités existantes et d’autres données pertinentes. De tels outils jouent un rôle déterminant dans les attaques ciblées, en particulier celles caractérisées par leur adaptabilité, car elles s'appuient fortement sur les caractéristiques uniques de la cible et sur son niveau de sécurité.
Les infections StyleServ sont connues pour utiliser une technique appelée chargement latéral de DLL. Cette méthode tire parti du mécanisme d'ordre de recherche des DLL de Windows, permettant au malware d'utiliser un programme légitime comme véhicule pour exécuter sa charge utile malveillante, tel que StyleServ. Cette porte dérobée est généralement utilisée dans les attaques passives, qui se distinguent par leur concentration sur la surveillance du système. Cette activité de surveillance peut englober des tâches telles que l'analyse des vulnérabilités et la détection des ports.
Dans les attaques passives, le niveau d'interaction avec le système compromis varie. Certains nécessitent une interaction minimale, tandis que d’autres s’engagent dans une reconnaissance active. Un exemple notable de reconnaissance active est l'analyse des ports, qui vise à recueillir des renseignements sur les opérations du réseau. Plus précisément, il vise à détecter les points faibles disponibles et les pistes potentielles pour une infiltration plus profonde.
Dans le mécanisme d'infection de StyleServ, une fois la DLL exécutée, elle lance la création de cinq threads, chacun affecté à un port différent. Ces threads tentent périodiquement d'accéder à un fichier intitulé « stylers.bin » à intervalles de 60 secondes. La validité du dossier est déterminée en fonction de sa disponibilité et du respect de critères précis.
S'il est jugé valide, le fichier est utilisé dans les requêtes réseau pour les threads suivants. L'objectif principal de ces threads est de surveiller les activités sur les sockets réseau. Par conséquent, ces threads fonctionnent comme des versions cryptées de « stylers.bin » et servent de récepteurs pour les connexions distantes.
Vecteurs d'infection typiques utilisés par les cybercriminels
La méthode spécifique de prolifération de StyleServ reste inconnue à l'heure actuelle. La distribution des logiciels malveillants s'appuie généralement sur des tactiques de phishing et d'ingénierie sociale, en particulier parmi les auteurs de menaces sophistiquées qui recourent à des attaques et à des incitations ciblées.
Ces programmes menaçants sont souvent camouflés dans ou regroupés à côté de logiciels ou de fichiers multimédias ordinaires. Ils peuvent se manifester sous différents formats, notamment des fichiers exécutables, des archives comme ZIP ou RAR, des documents, du code JavaScript, etc.
Les techniques de distribution les plus répandues comprennent : l'inclusion de pièces jointes ou de liens frauduleux dans des courriers indésirables, des messages directs, des messages privés ou des messages texte ; téléchargements furtifs et trompeurs au volant ; tactiques en ligne ; la publicité malveillante, qui implique des campagnes publicitaires trompeuses ; des sources de téléchargement douteuses telles que des sites Web d'hébergement de fichiers non officiels et gratuits et des réseaux de partage peer-to-peer ; des outils d'activation de logiciels illicites comme les « cracks » ; et des mises à jour de logiciels contrefaits.
En outre, certains programmes nuisibles possèdent la capacité de s’auto-propager via les réseaux locaux et les outils de stockage amovibles, notamment les clés USB et les disques durs externes. Cela souligne la diversité des stratégies employées par les cybercriminels pour diffuser des logiciels malveillants.
