Les chercheurs en sécurité mettent en garde contre un chargeur de logiciels malveillants relativement nouveau, qu’ils suivent sous le nom de Verblecon, qui est suffisamment complexe et puissant pour les attaques de rannsomware et d’espionnage, bien qu’il soit actuellement utilisé pour les attaques à faible récompense.
Bien qu’ils existent depuis plus d’un an, les échantillons Verblecon bénéficient d’un faible taux de détection en raison de la nature polymorphe du code.
Voler sous le radar
Des chercheurs de Symantec, une division de Broadcom Software, ont découvert Verblecon en janvier de l’année dernière et ont observé qu’il était utilisé dans des attaques qui installaient des mineurs de crypto-monnaie sur des machines compromises.
Certains indices indiquent également que l’attaquant est intéressé par le vol de jetons d’accès pour l’application de chat Discord, selon les chercheurs, ajoutant que ces objectifs contrastent avec le potentiel réaliste de Verblecon pour des attaques beaucoup plus dommageables.
Le malware est basé sur Java et sa nature polymorphe est ce qui lui permet de se glisser dans des systèmes compromis, dans de nombreux cas non détectés.
« Le fait que le fichier soit polymorphe signifie qu’en raison du cryptage et de l’obscurcissement, le code de la charge utile du logiciel malveillant est différent à chaque téléchargement. Les attaquants emballent généralement les logiciels malveillants de cette manière dans le but d’échapper à la détection par les logiciels de sécurité » – Symantec, une division de Broadcom Software
Un examen de cinq échantillons Verblecon que les chercheurs ont analysés montre que de nombreux moteurs antivirus sur VirusTotal ne les signalent pas comme malveillants.
L’échantillon le plus ancien, par exemple, a été ajouté à la base de données le 16 octobre 2021 et est actuellement détecté par neuf des 56 moteurs antivirus.
Les nouvelles charges utiles Verblecon, cependant, à partir de fin janvier 2022, sont presque complètement manquées par les moteurs antivirus de VirusTotal.
Vérification de l’environnement d’analyse
Symantec a publié une ventilation technique du logiciel malveillant et de ses fonctions, notant que les échantillons analysés « étaient entièrement obscurcis, dans le flux de code, les chaînes et les symboles », et qu’ils peuvent être basés sur du code qui est Disponible publiquement.
Leur analyse montre que le logiciel malveillant effectue certaines vérifications, pour déterminer s’il s’exécute dans un environnement virtuel s’il est en cours de débogage.
Ensuite, il récupère la liste des processus en cours d’exécution qui est vérifiée par rapport à un catalogue prédéfini qui comprend des fichiers (exécutables, dépendances, pilotes) liés aux systèmes de machines virtuelles.
Si toutes les vérifications réussissent, le logiciel malveillant se copie dans un répertoire local (%ProgramData%, %LOCALAPPDATA%, Users) et crée des fichiers à utiliser comme point de chargement.
Selon les recherches de Symantec, Verblecon essaie périodiquement de se connecter à l’un des domaines ci-dessous, en utilisant un algorithme de génération de domaine (DGA) pour une liste plus complète :
- hxxps://gaymers[.]hache/
- hxxp://[DGA_NAME][.]tk/
Le DGA utilisé est basé sur l’heure et la date actuelles et inclut la chaîne « verbe » comme suffixe, d’où vient le nom du malware.
Dans le rapport technique publiés aujourd’hui, les chercheurs de Symantec notent que la charge utile fournie après la communication de l’étape initiale avec les serveurs de commande et de contrôle (C2) « est obscurcie de la même manière que les autres échantillons, et contient également des techniques similaires pour détecter l’environnement de virtualisation ».
Selon l’analyse, la fonction principale de la charge utile est de télécharger et d’exécuter un binaire (fichier .BIN) qui est ensuite déchiffré sur l’hôte infecté et injecté dans %Windows%SysWow64dllhost.exe pour exécution.
Les chercheurs affirment que l’objectif final de quiconque est à l’origine des déploiements de Verblecon est d’installer un logiciel d’extraction de crypto-monnaie, ce qui n’est pas en phase avec l’effort requis pour développer des logiciels malveillants d’une telle sophistication.
De plus, les chercheurs soupçonnent que l’acteur de la menace peut également l’utiliser pour voler des jetons Discord afin de les utiliser pour la publicité de logiciels de jeux vidéo trojanisés.
Selon leurs observations, Verblecon cible les machines non professionnelles, qui sont rarement à la portée d’acteurs malveillants plus sophistiqués en raison de leur faible rentabilité.
Symantec dit qu’ils sont au courant d’autres rapports qui ont connecté un domaine Verblecon à une attaque de ransomware, mais ils pensent que ce chevauchement est dû au partage de l’infrastructure avec un acteur indépendant.
Cependant, les preuves de cet incident ne sont pas concluantes et les similitudes se limitent à ce qui suit :
- l’utilisation du « verbe » dans le nom de domaine
- le téléchargement de shellcode pour exécution
- obscurcissement similaire
Les chercheurs pensent que Verblecon est actuellement utilisé par un acteur qui ne reconnaît pas tout le potentiel dommageable de ce chargeur de logiciels malveillants
Ils pensent que si des cybercriminels plus sophistiqués mettent la main dessus, ils pourraient l’utiliser pour des rançongiciels et même des attaques d’espionnage.