Chaîne d’infection de Rhadamanthys

Magazine
Marque
MISC
Numéro
135
Mois de parution
septembre 2024
Spécialité(s)


Résumé

Au cours de l’analyse d’un document malveillant, nous avons identifié un comportement atypique. L’infection se fait par de nombreuses étapes, bien plus qu’habituellement, et chaque étape utilise des techniques d’obfuscation différentes. Le but est de rendre l’analyse plus compliquée. Ce comportement a retenu notre attention et nous avons décidé de faire une analyse plus approfondie de la chaîne d’infection.


Le malware final est Rhadamanthys, un stealer utilisé pour voler des informations sur le système compromis (identifiants stockés dans les navigateurs, dans les applications installées ou encore les portefeuilles de cryptomonnaies).

Cet article décrit la chaîne d’infection. Nous verrons chaque étape de cette chaîne, aussi bien celles utilisant des langages interprétés que celles avec du code compilé (shellcode). Dans cet article, nous décrirons les mécanismes mis en place par l’attaquant, mais aussi ses techniques d’obfuscation jusqu’à l’exécution du stealer.

1. Schéma de l’infection

L’infection est réalisée par plusieurs charges utiles qui peuvent être des scripts en langage interprété (PowerShell (PS) et Visual Basic Script (VBS)) ou du code compilé (assembleur x86). Chaque charge utile est téléchargée depuis un serveur de contrôle (Command and Control / C2). Les objets téléchargés sont offusqués, avec les techniques des charges utiles…

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous