Des chercheurs en cybersécurité ont découvert un nouveau chargeur de malware évasif nommé Chargeur de calmar qui se propage via des campagnes de phishing ciblant les organisations chinoises.
AT&T LevelBlue Labs, qui a observé le malware pour la première fois fin avril 2024, a déclaré qu’il intègre des fonctionnalités conçues pour contrecarrer l’analyse statique et dynamique et, finalement, échapper à la détection.
Les chaînes d’attaque exploitent les e-mails de phishing accompagnés de pièces jointes se faisant passer pour des documents Microsoft Word, mais qui, en réalité, sont des fichiers binaires qui ouvrent la voie à l’exécution du malware, qui est ensuite utilisé pour récupérer les charges utiles du shellcode de deuxième étape à partir d’un serveur distant. y compris Cobalt Strike.
« Ces chargeurs sont dotés de lourds mécanismes d’évasion et de leurre qui les aident à rester indétectables tout en entravant l’analyse », a déclaré le chercheur en sécurité Fernando Dominguez. dit. « Le shellcode livré est également chargé dans le même processus de chargement, ce qui évitera probablement d’écrire la charge utile sur le disque et risquera ainsi d’être détecté. »
Certaines des techniques d’évasion défensive adoptées par SquidLoader incluent l’utilisation de segments de code cryptés, de code inutile qui reste inutilisé, l’obscurcissement du Control Flow Graph (CFG), la détection du débogueur et l’exécution d’appels système directs au lieu d’appeler les API Windows NT.
Les logiciels malveillants Loader sont devenus un produit populaire dans le milieu criminel pour les acteurs malveillants qui cherchent à fournir et à lancer des charges utiles supplémentaires sur des hôtes compromis, tout en contournant les défenses antivirus et autres mesures de sécurité.
L’année dernière, l’incident du Stroz Friedberg d’Aon a détaillé un chargeur connu sous le nom de Chargeur Taureau qui a été observé en train de distribuer le voleur d’informations Taurus ainsi que AgentVXun cheval de Troie capable d’exécuter davantage de logiciels malveillants, de configurer la persistance à l’aide des modifications du registre Windows et de collecter des données.
Ce développement intervient alors qu’une nouvelle analyse approfondie d’un chargeur de malware et d’une porte dérobée appelé PikaBot a souligné qu’il continue d’être activement développé par ses développeurs depuis son émergence en février 2023.
« Le malware utilise des techniques anti-analyse avancées pour échapper à la détection et renforcer l’analyse, notamment des vérifications du système, des appels système indirects, le cryptage de l’étape suivante et des chaînes, ainsi que la résolution dynamique de l’API », Sekoia dit. « Les récentes mises à jour du logiciel malveillant ont encore amélioré ses capacités, le rendant encore plus difficile à détecter et à atténuer. »
Il en résulte également résultats de BitSight que l’infrastructure liée à un autre malware de chargement appelé Latrodectus a été mise hors ligne à la suite d’un effort d’application de la loi baptisé Operation Endgame qui a vu plus de 100 serveurs de botnet, y compris ceux associés à IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee et TrickBot, démonté.
La société de cybersécurité a déclaré avoir observé près de 5 000 victimes distinctes réparties dans 10 campagnes différentes, la majorité des victimes étant situées aux États-Unis, au Royaume-Uni, aux Pays-Bas, en Pologne, en France, en Tchéquie, au Japon, en Australie, en Allemagne et au Canada.