Le malware GuLoader trouvé dans une utilité de chiffrement

Le malware GuLoader a été découvert dans un service de chiffrement.

Une entreprise italienne qui vend ce qu’elle décrit comme un utilitaire de chiffrement légitime est utilisée pour délivrer le dropper GuLoader, selon des chercheurs. L’outil, selon une enquête récente, crée des échantillons GuLoader et aide le malware à éviter la détection antivirus.

Pour sa part, la société affirme avoir pris des mesures pour empêcher les pirates informatiques d’utiliser ses produits à mauvais escient.

Selon des chercheurs de Check Point, la société identifiée comme CloudEyE cherche à se faire sa place dans le marché traditionnel des emballeurs et des crypteurs, un marché florissant qui s’adresse aux auteurs de logiciels malveillants à la recherche d’obscurcissement pour leurs marchandises.

GuLoader est un dropper très répandu qui compromet les cibles et fournit ensuite des logiciels malveillants de deuxième phase. Selon Check Point, il a été constamment mis à jour au cours de l’année 2020, avec de nouveaux fichiers binaires arborant des techniques d’évasion sandbox, des fonctionnalités de randomisation de code, le chiffrement URL de commande et de contrôle (C2) et un chiffrement supplémentaire de la charge utile(payload).

«En conséquence, nous pouvons raisonnablement supposer que derrière GuLoader, il existe un nouveau service majeur» fournissant diverses formes de chiffrement, selon les chercheurs.

Une enquête plus approfondie a révélé un tel service, qui, selon les chercheurs, est “créé et maintenu par une entreprise italienne qui prétend être complètement légitime et a même un site Web qui utilise la zone de domaine .eu”, a conclu l’analyse.

Quand CloudEyE a été contacté, un porte-parole a déclaré que la société «peut aider [les chercheurs en sécurité] en révoquant les licences CloudEyE aux utilisateurs qui abusent de notre produit». La personne a ajouté: «CloudEyE n’est plus lié aux forums de piratage ou à d’autres forums de pirates.»

De DarkEye à CloudEye à GuLoader

Dans la récente enquête de Check Point sur GuLoader, qui a intensifié son activité, la firme a remarqué qu’un autre échantillon de malware était signalé comme étant une variante du dropper. Cependant, il y avait une différence cruciale, ces exemples ne contenaient pas d’URL pour télécharger une deuxième charge utile.

Une enquête plus approfondie a montré que le malware se faisait appelé DarkEyE Protector et apparaît dans les fils de discussion clandestins depuis 2014. Il a été publié par un utilisateur appelé «sonykuccio».

“Les publicités décrivent DarkEyE comme un chiffreur qui peut être utilisé avec différents logiciels malveillants tels que des voleurs d’informations, les enregistreurs de frappe et les RAT (chevaux de Troie d’accès à distance), et les rend totalement indétectables pour les antivirus (FUD)”, ont déclaré les chercheurs. “Cela ne nous a laissé aucun doute que ce logiciel a été développé pour protéger les logiciels malveillants contre la découverte par les antivirus, car les auteurs n’ont pas oublié de souligner qu’ils ‘ne prennent aucune responsabilité pour l’utilisation’ de DarkEyE.”

GuLoader

Les échantillons DarkEyE se chevauchent beaucoup avec les échantillons GuLoader. Les deux sont écrits en VisualBasic, contiennent un shellcode chiffré avec des clés XOR à 4 octets et ont la même procédure de déchiffrement de la charge utile, ce qui explique l’identité erronée dans l’analyse anti-programme malveillant de Check Point.

Les annonces pour DarkEyE contiennent une adresse de site Web vers laquelle se rendre pour plus d’informations: securitycode[.]eu. Avance rapide jusqu’en 2020, et cette même adresse se concentre désormais sur ce qui semble être un produit connexe, appelé CloudEyE. Il est annoncé comme un logiciel de sécurité destiné à «protéger les applications Windows contre le craquage, la falsification, le débogage, le démontage, le dumping», selon le site.

“Mais [ailleurs sur le site Web] il y’a plusieurs didacticiels vidéo YouTube sur la façon d’utiliser CloudEyE et, comme il s’est avéré, sur la façon d’abuser de Google Drive et OneDrive”, selon Check Point. “[Ceux-ci] montrent comment stocker des charges utiles sur des disques cloud … qui effectuent généralement une vérification antivirus et ne permettent techniquement pas le téléchargement de logiciels malveillants. Cependant, le chiffrement de la charge utile implémenté dans CloudEyE permet de contourner cette limitation.”

De plus, ces vidéos contenaient le même modèle d’URL que celui trouvé dans les exemples GuLoader.

“[Le modèle est] un espace réservé pour une URL qui est utilisée dans certains des échantillons GuLoader pour télécharger des fichiers joints (images leurres dans nos recherches précédentes)”, ont déclaré les chercheurs. “Beaucoup trop de coïncidences pour nous de le trouver ici!”

Les analystes, après avoir écouté leur intuition, ont téléchargé CloudEyE et l’ont utilisé pour chiffrer un fichier exécutable, le transformant en un fichier binaire à part entière qui peut se décompresser et récupérer des charges utiles supplémentaires – tout comme GuLoader. Dans les résultats de l’émulation, Check Point a constaté que CloudEyE produit des échantillons qui sont en effet universellement reconnus comme étant GuLoader.

«Nous avons décidé de l’analyser manuellement et de le comparer avec un véritable échantillon de GuLoader que nous avons vu dans la nature», ont déclaré les chercheurs.

En utilisant un échantillon récent de GuLoader qui télécharge le malware Formbook, les chercheurs ont déchiffré le shellcode de CloudEyE et GuLoader.

“Pour rendre plus difficile l’analyse automatique et probablement aussi pour empêcher le déchiffrement automatique, le shellcode commence à partir d’un morceau aléatoire et est précédé d’un saut par-dessus ce morceau”, a expliqué l’analyse de Check Point. «Dans les deux exemples, le même espace sur la pile est réservé à une structure avec des variables globales. Les variables de la structure ont le même offset. La plupart des morceaux de code ne diffèrent qu’en raison des techniques de randomisation appliquées. Le code utile est le même dans les deux exemples.»

De plus, les URL de téléchargement de la charge utile sont également les mêmes.

“Nous pouvons donc conclure que les échantillons sont presque identiques et ne diffèrent que de manière générale en raison des techniques de randomisation de code appliquées”, selon les analystes.

Malgré cela, le porte-parole de CloudEyE a déclaré que DarkEyE Protector n’était jamais censé être malveillant – il a plutôt été craqué, falsifié et abusé plusieurs fois, c’est pourquoi le projet a été interrompu. “Vous pouvez voir des vidéos YouYube comme preuve”, a déclaré le porte-parole.

Attribution

Quant à savoir qui est derrière CloudEye, les chercheurs de Check Point ont commencé leur enquête avec le nom «sonykuccio» trouvé dans les annonces de DarkEyE.

“Sonykuccio est un ancien visiteur des forums de hackers”, ont expliqué les chercheurs. «Nous avons vu qu’il avait commencé à vendre DarkEyE au début de l’année 2011. Mais avant même de créer DarkEyE Protector, Sonykuccio offrait déjà des services pour protéger les logiciels malveillants contre les antivirus (service FUD) et un service de diffusion des malwares.»

Ils ont cherché le nom et l’adresse e-mail sur des bases de données de messagerie accessibles au public qui ont fuité et cela a révélé plusieurs entrées liées à «Sonykuccio», y compris une autre adresse e-mail au nom de «Sebastiano Dragna».

“Faisons maintenant référence à la section Politique de confidentialité sur le site Web securitycode.eu”, selon le rapport. «Nous voyons le même nom! Les propriétaires de cette entreprise doivent sincèrement croire en leur innocence s’ils osent publier leurs vrais noms sur le site Internet. »

Le site Web décrit en effet CloudEyE comme ayant été développé par une entreprise légitime, et le porte-parole affirme que le piratage est à l’origine de tout lien avec Sonykuccio: «Nous n’avons aucun lien avec “sonykuccio” car ce compte a été compromis par des fuites.»

GuLoader

Néanmoins, le malware GuLoader qui, selon Check Point, a été créé par CloudEyE, apparaît dans des centaines d’attaques chaque jour dans différentes campagnes, la plupart de ces attaques étant déployées par des pirates informatiques peu sophistiqués. En fait, près d’un quart de tous les échantillons que Check Point détecte sont des versions de GuLoaders. Le dropper fournit à son tour «un grand nombre de types de logiciels malveillants», provenant de nombreux pirates différents.

«Les opérations CloudEyE peuvent sembler légales, mais le service fourni par CloudEyE a été le dénominateur commun de milliers d’attaques au cours de la dernière année», a conclu Check Point. «La randomisation du code, les techniques d’évasion et le chiffrement de la charge utile utilisés dans CloudEyE protègent les logiciels malveillants contre la détection par de nombreux produits de sécurité existants sur le marché. Étonnamment, un tel service est fourni par une société italienne légalement enregistrée qui utilise un site Web accessible au public qui existe depuis plus de quatre ans. »

Si cet article vous a plu, jetez un œil à notre article précédent.