Les acteurs de la menace vendent un nouveau crypteur et chargeur appelé ASMCryptequi a été décrit comme une « version évoluée » d’un autre malware de chargement connu sous le nom de DoubleFinger.
« L’idée derrière ce type de malware est de charger la charge utile finale sans que le processus de chargement ou la charge utile elle-même ne soient détectés par AV/EDR, etc. », Kaspersky dit dans une analyse publiée cette semaine.
DoubleFinger a été documenté pour la première fois par la société russe de cybersécurité, détaillant les chaînes d’infection exploitant le malware pour propager un voleur de cryptomonnaie baptisé GreetingGhoul auprès de victimes en Europe, aux États-Unis et en Amérique latine.
ASMCrypt, une fois acheté et lancé par les clients, est conçu pour établir un contact avec un service backend sur le réseau TOR à l’aide d’informations d’identification codées en dur, permettant ainsi aux acheteurs de créer les charges utiles de leur choix à utiliser dans leurs campagnes.
« L’application crée un blob crypté caché dans un fichier .PNG », a déclaré Kaspersky. « Cette image doit être téléchargée sur un site d’hébergement d’images. »
Les chargeurs sont devenus de plus en plus populaires en raison de leur capacité à agir comme un service de diffusion de logiciels malveillants pouvant être utilisé par plusieurs acteurs malveillants pour obtenir un accès initial aux réseaux afin de mener des attaques de ransomwares, des vols de données et d’autres cyberactivités malveillantes.
Cela inclut des acteurs nouveaux et établis, tels que Bumblebee, CustomerLoader et GuLoader, qui ont été utilisés pour diffuser divers logiciels malveillants. Il est intéressant de noter que toutes les charges utiles téléchargées par CustomerLoader sont des artefacts dotRunpeX, qui, à leur tour, déploient le malware final.
« CustomerLoader est très probablement associé à un Loader-as-a-Service et utilisé par plusieurs acteurs malveillants », Sekoia.io dit. « Il est possible que CustomerLoader soit une nouvelle étape ajoutée avant l’exécution de l’injecteur dotRunpeX par son développeur. »
Bumblebee, en revanche, est réapparu après une interruption de deux mois vers la fin août 2023 dans une nouvelle campagne de distribution qui utilisait des serveurs Web Distributed Authoring and Versioning (WebDAV) pour diffuser le chargeur, une tactique précédemment adoptée dans Attaques IcedID.
« Dans cet effort, les acteurs malveillants ont utilisé des courriers indésirables malveillants pour distribuer des raccourcis Windows (.LNK) et des fichiers d’archives compressés (.ZIP) contenant des fichiers .LNK », Intel 471 dit. « Lorsqu’ils sont activés par l’utilisateur, ces fichiers LNK exécutent un ensemble prédéterminé de commandes conçues pour télécharger le malware Bumblebee hébergé sur les serveurs WebDAV. »
Le chargeur est une variante mise à jour qui est passée de l’utilisation du protocole WebSocket à TCP pour les communications du serveur de commande et de contrôle (C2), ainsi que d’une liste codée en dur de serveurs C2 à un algorithme de génération de domaine (DGA) qui vise à rendez-le résilient face au retrait de domaine.
Dans ce qui est le signe d’une économie de cybercriminalité en pleine maturité, des acteurs de la menace, auparavant considérés comme distincts, se sont associés à d’autres groupes, comme en témoigne le cas d’une « alliance sombre » entre GuLoader et Remcos RAT.
Bien qu’apparemment présenté comme un logiciel légitime, une analyse récente de Check Point a révélé l’utilisation de GuLoader pour distribuer principalement Remcos RAT, même si le premier est maintenant vendu comme crypteur sous un nouveau nom appelé TheProtect qui rend sa charge utile totalement indétectable par les logiciels de sécurité. .
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
« Un individu opérant sous le pseudonyme d’EMINEM administre les deux sites BreakingSecurity et VgoStore qui vendent ouvertement Remcos et GuLoader », a indiqué la société de cybersécurité. dit.
« Les individus derrière ces services sont profondément liés à la communauté des cybercriminels, tirant parti de leurs plateformes pour faciliter les activités illégales et tirer profit de la vente d’outils chargés de logiciels malveillants. »
Le développement se présente sous la forme de nouvelles versions d’un malware volant des informations appelés Lumma Stealer ont été repérés dans la nature, le malware étant distribué via un faux site Web qui imite un site légitime .DOCX vers .PDF.
Ainsi, lorsqu’un fichier est téléchargé, le site Web renvoie un binaire malveillant qui se fait passer pour un PDF avec une double extension « .pdf.exe » qui, lors de son exécution, récupère des informations sensibles sur les hôtes infectés.
Il convient de noter que Lumma Stealer est la dernière branche d’un malware voleur connu nommé Arkei, qui a évolué vers Vidar, Oski et Mars au cours des deux dernières années.
« Les logiciels malveillants évoluent constamment, comme l’illustre Lumma Stealer, qui présente de multiples variantes avec des fonctionnalités variables », a déclaré Kaspersky.