Au cours de l’analyse d’un document malveillant, nous avons identifié un comportement atypique. L’infection se fait par de nombreuses étapes, bien plus qu’habituellement, et chaque étape utilise des techniques d’obfuscation différentes. Le but est de rendre l’analyse plus compliquée. Ce comportement a retenu notre attention et nous avons décidé de faire une analyse plus approfondie de la chaîne d’infection.
Le malware final est Rhadamanthys, un stealer utilisé pour voler des informations sur le système compromis (identifiants stockés dans les navigateurs, dans les applications installées ou encore les portefeuilles de cryptomonnaies).
Cet article décrit la chaîne d’infection. Nous verrons chaque étape de cette chaîne, aussi bien celles utilisant des langages interprétés que celles avec du code compilé (shellcode). Dans cet article, nous décrirons les mécanismes mis en place par l’attaquant, mais aussi ses techniques d’obfuscation jusqu’à l’exécution du stealer.
1. Schéma de l’infection
L’infection est réalisée par plusieurs charges utiles qui peuvent être des scripts en langage interprété (PowerShell (PS) et Visual Basic Script (VBS)) ou du code compilé (assembleur x86). Chaque charge utile est téléchargée depuis un serveur de contrôle (Command and Control / C2). Les objets téléchargés sont offusqués, avec les techniques des charges utiles…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première