Crédit : Dreamstime
Un scientifique du fournisseur de cybersécurité Proofpoint a analysé un nouvel accès à distance à Campagne de logiciels malveillants Trojan (RAT) utilisant des stratégies d’évasion sophistiquées et tirant parti de la messagerie sur le thème COVID-19 pour cibler les organisations mondiales.
Le malware, surnommé « Nerbian RAT » et composé dans le langage des programmes Go, utilise des capacités anti-analyse et anti-inversion substantielles et des bibliothèques Go open source pour effectuer des activités destructrices, ont déclaré les chercheurs.
Le projet a été évalué pour la première fois par Proofpoint fin avril. Dans un communiqué, Sherrod DeGrippo, vice-président de l’étude et de la détection des risques de Proofpoint, a déclaré que la recherche démontre comment les auteurs de logiciels malveillants continuent de fonctionner à la croisée des capacités open source et des opportunités criminelles.
Les logiciels malveillants RAT à faible volume usurpent l’OMS et tirent parti de la pandémie de COVID-19
À partir du 26 avril 2022 , les scientifiques de Proofpoint ont observé un projet de malware à faible volume ciblant de nombreuses industries avec des e-mails déclarant représenter l’Organisation mondiale de la santé (OMS) partageant des informations essentielles concernant COVID-19.
Les e-mails comprenaient un fichier Word connecté contenant des macros qui, une fois ouvertes, révélaient des détails relatifs à la sécurité du COVID-19, à l’auto-isolement et à la prise en charge des individus.
« Remarquablement, le leurre ressemble aux thèmes utilisés au début de la pandémie en 2020, en particulier en usurpant l’OMS pour distribuer des détails sur le virus », ont écrit les scientifiques. Les documents contiennent également des logos du Health Service Executive (HSE), du gouvernement irlandais et du Conseil national pour les aveugles d’Irlande (NCBI), y compris Proofpoint.
Nerbian RAT démontre une attaque macro-activée chemin, réutilisation du code
Lorsque les macros sont activées, le fichier exécute une macro intégrée qui supprime un fichier.bat qui effectue une demande Web PowerShell (IWR) et renomme le fichier téléchargé à UpdateUAV.exe avant de le déposer sur le disque dur d’une victime, ont déclaré les scientifiques.
« UpdateUAV.exe est la charge utile initialement téléchargée à partir du fichier Word nuisible. Il s’agit d’un exécutable 64 bits, écrit en Golang, d’une taille de 3,5 Mo et chargé en UPX », ont-ils composé. « Il est probable que ce logiciel malveillant soit chargé avec UPX pour réduire la taille générale de l’exécutable en cours de téléchargement. Décompressé, le fichier fait 6,6 Mo au total. »
Proofpoint a nommé ce logiciel malveillant « Nerbian RAT » en se basant sur l’un des les noms de fonction dans le compte-gouttes. Les chercheurs ont noté que l’exécutable UpdateUAV comporte une réutilisation substantielle du code, avec des chaînes faisant référence à différentes tâches GitHub.
Les stratégies d’évasion avancées de Nerbian RAT
Nerbian RAT démontre de nombreuses techniques d’évasion sophistiquées, a déclaré Proofpoint. Le dropper arrêtera l’exécution lorsqu’il rencontrera certaines conditions, notamment si :
- La taille du disque dur sur le système est inférieure à 100 Go.
- Le nom du disque dur contient des chaînes virtuelles, vbox ou vmware.
- L’adresse MAC demandée renvoie certaines valeurs OUI.
- Des programmes particuliers de rétro-ingénierie/débogage sont présents.
- exe, RAMMap .exe, RAMMap64.exe ou vmmap.exe des programmes d’analyse de la mémoire/de falsification de la mémoire existent.
En plus des vérifications anti-inversion, Proofpoint a reconnu d’autres vérifications anti-analyse présentes dans le binaire y compris :
- Utilisation de l’API IsDebuggerPresent pour identifier si l’exécutable est en cours de débogage
- Questions pour les noms d’interface réseau suivants : connexion réseau Intel PRO/1000 MT, pseudo-bouclage Interface 1 et interface utilisateur de bouclage d’application logicielle 1
Le logiciel malveillant démontre sa capacité à enregistrer les frappes au clavier, interagit via SSL
Si l’activation est accompli, le dropper tentera alors d’établir une tâche d’installation nommée MicrosoftMouseCoreWork pour commencer la charge utile RAT toutes les heures pour établir la détermination, a déclaré Proofpoint.
« L’objectif final du compte-gouttes est de télécharger l’exécutable appelé SSL, de l’enregistrer sous MoUsoCore.exe et de configurer une tâche planifiée pour l’exécuter toutes les heures comme principal mécanisme de persévérance. »
Nerbian RAT semble également disposer d’une gamme de fonctions différentes consistant en la capacité d’enregistrer les frappes au clavier et, comme de nombreuses familles de logiciels malveillants modernes, préfère gérer ses communications via SSL, a poursuivi Proofpoint.
« Indépendamment de toute cette complexité et ce soin étant nécessaires pour sécuriser les données en transit et « vérifier » l’hôte compromis, le compte-gouttes et le RAT lui-même n’emploient pas d’obscurcissement important en dehors de l’échantillon chargé avec UPX, ce qui, on peut le dire, n’est pas toujours pour l’obscurcissement, mais simplement pour réduire la taille de l’exécutable », ont conclu les chercheurs de Proofpoint.
« De plus, une grande partie des fonctionnalités du RAT et du dropper sont simples à déduire en raison des chaînes décrivant les référentiels GitHub. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
