Le malware de téléchargement JavaScript connu sous le nom de SocGholish (alias FakeUpdates) est utilisé pour diffuser un cheval de Troie d’accès à distance appelé AsyncRAT ainsi qu’un projet open source légitime appelé BOINC.
BOINCabréviation de Berkeley Open Infrastructure Network Computing Client, est un « calcul volontaire » open source plate-forme maintenu par l’Université de Californie dans le but de réaliser un « calcul à haut débit distribué à grande échelle » en utilisant les ordinateurs personnels participants sur lesquels l’application est installée.
« C’est similaire à un mineur de crypto-monnaie de cette façon (utiliser les ressources informatiques pour faire du travail), et il est en fait conçu pour récompenser les utilisateurs avec un type spécifique de crypto-monnaie appelé Gridcoin, conçu à cet effet », ont déclaré les chercheurs de Huntress Matt Anderson, Alden Schmidt et Greg Linares. dit dans un rapport publié la semaine dernière.
Ces installations malveillantes sont conçues pour se connecter à un domaine contrôlé par un acteur (« rosettahome[.]cn” ou “rosettahome[.]”top”), agissant essentiellement comme un serveur de commande et de contrôle (C2) pour collecter les données de l’hôte, transmettre des charges utiles et envoyer d’autres commandes. Au 15 juillet, 10 032 clients sont connectés aux deux domaines.
L’entreprise de cybersécurité a déclaré que même si elle n’avait observé aucune activité ou tâche de suivi exécutée par les hôtes infectés, elle a émis l’hypothèse que « les connexions hôtes pourraient être vendues comme vecteurs d’accès initiaux à utiliser par d’autres acteurs et potentiellement utilisées pour exécuter des ransomwares ».
Les séquences d’attaque de SocGholish commencent généralement lorsque les utilisateurs atterrissent sur des sites Web compromis, où ils sont invités à télécharger une fausse mise à jour de navigateur qui, une fois exécutée, déclenche la récupération de charges utiles supplémentaires sur les machines infiltrées.
Le téléchargeur JavaScript, dans ce cas, active deux chaînes disjointes, l’une qui conduit au déploiement d’une variante sans fichier d’AsyncRAT et l’autre aboutissant à l’installation de BOINC.
L’application BOINC, renommée « SecurityHealthService.exe » ou « trustedinstaller.exe » pour échapper à la détection, définit la persistance à l’aide d’une tâche planifiée au moyen d’un script PowerShell.
L’utilisation abusive de BOINC à des fins malveillantes n’est pas passée inaperçue auprès des responsables du projet, qui sont enquête actuellement le problème et trouver un moyen de « vaincre ce malware ». Les preuves de l’abus remontent au moins au 26 juin 2024.
« La motivation et l’intention de l’acteur malveillant en chargeant ce logiciel sur des hôtes infectés ne sont pas claires à ce stade », ont déclaré les chercheurs.
« Les clients infectés se connectant activement à des serveurs BOINC malveillants présentent un risque assez élevé, car il existe un risque pour un acteur malveillant motivé d’utiliser cette connexion à mauvais escient et d’exécuter un certain nombre de commandes ou de logiciels malveillants sur l’hôte pour augmenter davantage les privilèges ou se déplacer latéralement sur un réseau et compromettre un domaine entier. »
Cette évolution intervient alors que Check Point a déclaré avoir suivi l’utilisation de JavaScript V8 compilé par les auteurs de logiciels malveillants pour contourner les détections statiques et dissimuler les chevaux de Troie d’accès à distance, les voleurs, les chargeurs, les mineurs de crypto-monnaie, les effaceurs et les ransomwares.
« Dans la bataille en cours entre les experts en sécurité et les acteurs malveillants, les développeurs de logiciels malveillants continuent de proposer de nouvelles astuces pour dissimuler leurs attaques », a déclaré le chercheur en sécurité Moshe Marelus. « Il n’est pas surprenant qu’ils aient commencé à utiliser V8, car cette technologie est couramment utilisée pour créer des logiciels car elle est très répandue et extrêmement difficile à analyser. »