Posté le février 9, 2022 à 10:05
PLUSIEURS FAMILLES DE LOGICIELS MALVEILLANTS UTILISENT DES SERVICES PAY-PER-INSTALL POUR LANCER DES ATTAQUES
Intel 471 a récemment publié un rapport après avoir examiné le service de logiciels malveillants Pay-Per-Install (PPI) connu sous le nom de PrivateLoader. L’étude a révélé que PrivateLoader joue un rôle important dans la diffusion d’un plus large éventail de logiciels malveillants tels que Raccoon, Vidar, Stealer, Redline, GCleaner et Smokeloader depuis mai 2021.
Bien que le service de logiciels malveillants PPI soit présent dans le domaine de la cybercriminalité depuis un certain temps, on ne sait pas qui est derrière son développement.
Les loaders sont utilisés par les acteurs de la menace pour envoyer davantage de charges utiles sur une machine ciblée, tandis que PrivateLoader est une variante qui est vendue aux hackers ou aux mauvais acteurs sur la base d’une installation. Dans ce cas, le paiement de la charge utile est déterminé par le nombre de victimes qu’ils ont réussi à infiltrer.
PrivateLoader est contrôlé par un ensemble de serveurs de commande et de contrôle (C2) ainsi que par un panneau d’administration qui porte AdminLTE3. Le logiciel malveillant à paiement par installation est connu comme l’un des chargeurs les plus populaires du marché actuel. Les chercheurs en sécurité ont constaté que le chargeur est de plus en plus installé et déployé par les acteurs de la menace.
Le logiciel malveillant est distribué via des mises à jour logicielles piratées
Son panneau frontal offre des fonctions telles que des options de configuration et une fonction permettant d’ajouter de nouveaux utilisateurs. Il inclut également le cryptage, la configuration des liens de téléchargement des charges utiles, ainsi que la sélection de la cible pour le pays et l’emplacement géographique.
Le logiciel malveillant est distribué essentiellement par le biais de sites Web de logiciels piratés, qui sont des formes illégales de logiciels modifiés pour éviter le paiement ou la licence. Généralement, un JavaScript qui déploie la charge utile dans une archive .ZIP est utilisé pour intégrer les boutons de téléchargement des logiciels sur les sites.
La société de cybersécurité Intel 471 a recueilli des échantillons du paquet. Selon le rapport, le paquet contient un fichier exécutable malveillant de type .exe. Celui-ci déclenche un large éventail de logiciels malveillants tels que Redline, PrivateLoader et le revendeur de charge GCleaner.
Selon la société de cybersécurité, le module PrivateLoader a été utilisé pour exécuter Vidar, Redline et Smokeloader depuis mai dernier. Toutefois, Smokeloader s’est avéré être le plus populaire de ces familles de logiciels malveillants.
Smokeloader est un chargeur distinct qui peut être utilisé pour la reconnaissance et le vol de données, tandis que Vidar est généralement utilisé par les acteurs de menaces pour exfiltrer différents types de données, y compris des informations de portefeuille numérique, des documents, ainsi que des mots de passe. D’autre part, Redline est utilisé pour le vol d’informations d’identification.
Le PrivateLoader offre de la polyvalence aux acteurs de menaces
Les bots PrivateLoader ont été liés à la distribution du botnet Dridex et du cheval de Troie bancaire Kronos.
Cependant, le chargeur n’est pas utilisé directement pour le déploiement de logiciels malveillants. Selon les chercheurs, il s’agit plutôt d’un moyen par lequel les acteurs de la menace disposent d’un espace pour diffuser des logiciels malveillants conçus pour planter Conti.
Les acteurs de menaces sont toujours à la recherche de logiciels qui leur offrent un large éventail d’options pour lancer des attaques. Et les services PPI se sont avérés très utiles pour les cybercriminels depuis plusieurs années. La nature polyvalente du logiciel malveillant en fait une option intéressante pour les cybercriminels qui cherchent à explorer un maximum d’options d’attaque.
Par conséquent, les chercheurs estiment qu’il est important de mettre en évidence la polyvalence du logiciel malveillant afin de sensibiliser davantage le public. Cela permettra aux défenseurs des logiciels malveillants de mettre en place et de développer des stratégies solides capables de contrecarrer les attaques de logiciels malveillants qui sont renforcées par PrivateLoader.
Les opérateurs comptent beaucoup sur PayLoader
Les chercheurs ont indiqué qu’ils ont commencé à automatiser la couverture et le suivi des logiciels malveillants en septembre de l’année dernière. Ils ont depuis rassemblé une quantité considérable de données qui leur ont permis d’en savoir plus sur le service.
Ils ont également présenté leur découverte dans un graphique, montrant le nombre de hachages uniques que PrivateLoader a téléchargés pour chaque famille de logiciels malveillants. Chacun des échantillons de PrivateLoader plante un code de région qui est transféré au serveur C2 et au pays du bot.
Le panneau latéral de l’échantillon montre le paramètre « link_goe », qui indique le nombre de hachages uniques téléchargés par région. Mais la distribution est différente lorsque le nombre de hachages uniques est recherché par les codes pays des bots.
Les chercheurs ont également indiqué que les opérateurs qui exécutent les « Privacy Tools » dépendent massivement de PrivateLoader pour fournir SmokeLoader. D’après les recherches et les analyses effectuées, les domaines hébergent un site Web qui propose prétendument des « outils de confidentialité ».
Le site usurpe le véritable site PrivacyTools exploité par des volontaires de la confidentialité des données. Selon les chercheurs, il est également probable que les acteurs de la menace utilisent d’autres services ou méthodes d’IPP pour distribuer le logiciel malveillant de la famille SmokeLoader. L’échantillon téléchargé par PrivateLoader a également été découvert comme délivrant le cheval de Troie bancaire Qbot.