Verblecon Malware
Des détails sur un nouveau malware puissant nommé Verblecon ont été mis au jour. La souche menaçante a été détectée pour la première fois par des chercheurs en janvier 2022. Selon leurs conclusions, l'acteur menaçant qui utilise actuellement Verblecon Malware dans le cadre de ses opérations d'attaque n'utilise qu'une petite partie des capacités de la menace. En effet, bien qu'il ait la capacité d'effectuer de nombreuses actions invasives sur les appareils piratés, Verblecon était jusqu'à présent relégué au rôle de chargeur délivrant des charges utiles de crypto-minage.
Détails techniques
Le malware Verblecon est basé sur Java et a une nature polymorphe. Cela signifie que le code de la charge utile de la menace est différent à chaque téléchargement. Ces techniques sophistiquées sont généralement utilisées par les acteurs de la menace impliqués dans le cyberespionnage. De plus, le flux de code, les chaînes et les symboles de la menace sont tous entièrement masqués, ce qui rend Verbelcon extrêmement furtif.
La menace effectue également plusieurs vérifications pour les environnements de virtualisation et de bac à sable. Il récupère une liste des processus en cours d'exécution et les compare à une sélection prédéterminée de fichiers connus pour être associés à des systèmes de machines virtuelles. Si toutes les vérifications sont réussies, la menace poursuivra son exécution en se copiant dans un répertoire local tel que %ProgramData% , %LOCALAPPDATA% et Users .
Verblecon tentera périodiquement d'établir un contact avec un serveur de commande et de contrôle (C2) pour obtenir et déployer une nouvelle charge utile. La charge utile est masquée à l'aide de techniques similaires et vérifie également l'environnement à la recherche de signes de virtualisation. Selon les chercheurs, la tâche principale de la charge utile est de télécharger et d'exécuter un fichier binaire, qui sera ensuite injecté dans %Windows%\SysWow64\dllhost.exe .
Comme nous l'avons dit, les opérations actuelles impliquant Verblecon n'exploitent pas toutes les capacités de la menace et se limitent à fournir principalement des menaces de crypto-minage. Il y a aussi des signes que les attaquants sont intéressés à obtenir les jetons Discord des victimes.
