Les analystes des menaces ont découvert une nouvelle campagne qui utilise le kit d’exploitation RIG pour diffuser le malware voleur RedLine.
Les kits d’exploitation (EK) ont considérablement chuté en popularité car ils ciblaient les vulnérabilités des navigateurs Web introduites par des logiciels plug-in tels que Flash Player et Microsoft Sillverlight, aujourd’hui disparus.
Au fur et à mesure que les navigateurs Web devenaient plus sécurisés et introduisaient des mises à jour automatiques pour tous leurs composants ou les remplaçaient par des normes modernes, l’utilisation des EK pour distribuer des logiciels malveillants a diminué au point qu’ils sont une rencontre rare de nos jours.
Cependant, comme il y a encore des utilisateurs qui exécutent des navigateurs sans les dernières mises à jour de sécurité, Internet Explorer en particulier, les EK ne sont pas complètement à court de cibles.
La campagne récemment étudiée qui s’appuie sur RIG EK exploite CVE-2021-26411, une vulnérabilité d’Internet Explorer qui provoque une corruption de la mémoire lors de la consultation d’un site Web spécialement conçu.
Les acteurs de la menace utilisent l’exploit pour compromettre la machine et déployer RedLine, un malware voleur d’informations bon marché mais puissant largement diffusé sur les forums russophones.
À partir de là, les adversaires exfiltrent les détails sensibles des utilisateurs tels que les clés de portefeuille de crypto-monnaie, les détails de carte de crédit et les informations d’identification de compte stockées sur les navigateurs Web.
Les nouvelles astuces de RIG Exploit
Comme son nom l’indique, le RIG EK comprend un ensemble d’exploits pour automatiser l’intrusion du réseau en effectuant l’exécution de shellcode requise sur la cible.
Il a été largement utilisé dans de nombreuses campagnes depuis 2016. Sa popularité a culminé en 2018 et en 2019 pour déployer divers logiciels malveillants, y compris des ransomwares comme Nemty, Sodinokibi/REvil, Buran et Eris.
C’était une fois préféré à d’autres kits en raison de la combinaison de différentes technologies telles que JavaScript, VBScript, DoSWF et autres, utilisées pour l’emballage, l’obscurcissement et l’exécution.
Aujourd’hui, RIG Exploit a perdu son statut prestigieux mais certains acteurs de la menace trouvent toujours utile de diffuser des logiciels malveillants, comme ce fut le cas l’année dernière, lorsqu’il a abandonné le logiciel malveillant WastedLoader.
La récente campagne a été découvert par des chercheurs de Bitdefenderqui a découvert que RIG EK intègre CVE-2021-26411 pour lancer un processus d’infection qui passe en contrebande une copie du voleur RedLine sur la cible sous forme emballée.
L’exploit crée un nouveau processus de ligne de commande qui dépose un fichier JavaScript dans un répertoire temporaire, qui à son tour télécharge une deuxième charge utile cryptée RC4 et la lance.
Le déballage du voleur RedLine est un processus en six étapes composé de décompressions, de récupérations de clés, de décryptages d’exécution et d’actions d’assemblage. Les fichiers DLL résultants ne touchent jamais la mémoire du disque pour échapper à la détection AV.
RedLine déballé
Une fois que RedLine a pris forme sur la machine compromise en tant qu’exécutable .NET obfusqué, il tente de se connecter au serveur C2, dans cette campagne, 185.215.113.121 via le port 15386.
La communication utilise un canal non HTTP crypté, tandis que la première demande implique également une autorisation. La deuxième demande est répondue par une liste de paramètres qui déterminent les actions qui seront effectuées sur l’hôte.
Après cela, RedLine commence à collecter des données en fonction de ces paramètres, en ciblant un vaste ensemble de logiciels tels que les navigateurs Web, les VPN, les clients FTP, Discord, Telegram, Steam et les portefeuilles/plugins de crypto-monnaie.
De plus, RedLine envoie un ensemble d’informations système au C2, y compris le nom d’utilisateur et le numéro de série Windows, une liste des logiciels installés, une liste des processus en cours d’exécution, le fuseau horaire, la langue active et une capture d’écran.
Diffusion diversifiée
La variété de la distribution de RedLine provient du fait qu’elle est entre les mains de tant d’acteurs malveillants, chacun ayant sa propre approche.
Redline a déjà été distribué via de faux tricheurs Valorant sur YouTube, de fausses applications de compteur de statistiques Omicron, de fausses mises à niveau de Windows 11 et des compléments Microsoft Excel XLL malveillants.
Bien que ces méthodes nécessitent une action de l’utilisateur et ciblent un public plus large, l’ajout du kit d’exploitation RIG automatise le processus d’infection mais limite l’ensemble des victimes à celles qui exécutent encore une version vulnérable d’Internet Explorer.