sLoad, la nouvelle version du malware se nomme StarsLord

La nouvelle version du dropper sLoad est maintenant équipée de fonctionnalités de traçage d’infection et d’anti-analyse.

Le malware sLoad est un trojan PowerShell qui a été découvert pour la première fois en Mai 2018. Il est maintenant remplacé par une nouvelle version qui contient plus de fonctionnalités et est beaucoup plus dangereuse.

Après avoir découvert son utilisation, les chercheurs ont décidé que cette nouvelle version de sLoad se nommerait “StarsLord” en se basant sur des chaînes de caractère dans le code. StarsLord est un downloader qui s’installe lui-même sur le système, se connecte à un serveur distant et télécharge d’autres logiciels malveillants sur le système infecté. Il suit une chaîne d’attaque similaire à la version originale. Cependant, cette version 2.0 contient une petite ruse contre l’analyse et la capacité de traquer les étapes d’infection sur la machine affectée.

“La chaîne d’attaque en plusieurs étapes de sLoad… et sa nature polymorphique en font un malware qui est compliqué à détecter,” a déclaré Sujit Magar, membre de l’équipe de recherche Defender ATP de Microsoft, dans son analyse. “Il a maintenant évolué en une version plus sophistiqué, StarsLord, qui garde les fonctionnalités basiques de sLoad mais se débarrasse des fonctionnalités de spyware pour faire place à de nouvelles fonctionnalités, plus dangereuses.”

Cette dernière version de sLoad survient juste après le papier de recherche de Microsoft qui a été publié en Décembre. Ce papier décrivait les techniques d’attaques du malware et suggérait que les développeurs du logiciel malveillant essayer d’échapper aux analyses.

Chaîne d’attaque de sLoad

sLoad est connu pour son approche en plusieurs étapes, son utilisation rare de Background Intelligent Transfer Service (BITS) pour l’exfiltration de données, sa récupération de payload et ses communications command-and-control (C2). BITS est un outils Windows qui utilise la bande passante du réseau pour transférer des fichiers en arrière plan des applications en cours d’exécution.

Découvert pour la première fois en Mai 2018, sLoad a distribué un nombre important de payloads, y compris les trojans bancaires Ramnit et Ursnif, Gootkit, DarkVNC et PsiXBot. sLoad utilise aussi le géo-repérage, qui restreint l’accès au contenu en fonction de l’emplacement de l’utilisateur, déterminé via l’adresse IP source. Ce géo-repérage est effectué à toutes les étapes de la chaîne d’infection (y compris le téléchargement du dropper, le téléchargement PowerShell de sLoad, les communications de sLoad avec son serveur C2 et lorsqu’il reçoit une tâche ou une commande).

sLoad

La chaîne d’attaque de StarsLord est quasiment pareil que l’original, il y’a de très légères différences. Comme dans la première version, StarsLord arrive d’abord via e-mail avec un fichier ZIP.

Ces attaques ont déjà été lancées via des e-mails spécialement conçus dans la langue du pays ciblé et sont souvent personnalisés pour inclure les noms et adresses des destinataires dans diverses parties de l’e-mail, telles que le corps et l’objet de l’e-mail.

Cependant, la première version du fichier ZIP contenait un VBScript, qui exécutait ensuite le PowerShell et déchiffrait le payload dans la mémoire du système. Au lieu de cela, StarsLord utilise un fichier Windows Script (WSF script, un fichier type utilisé par Microsoft Windows Script Host) qui télécharge ensuite le script PowerShell avec une extension .jpg .

Un BITS est ensuite créé pour le script PowerShell de StarsLord et effectuer différentes actions. La plupart d’entre elles étaient aussi effectuées par la première version du dropper, y compris la récupération d’information à propos des systèmes Windows infectés, l’envoi des informations du système au serveur command-and-control(C2) et le téléchargement d’autres payloads.

Cependant, alors que la précédente version faisait des captures d’écran du système et les envoyaient au serveur C2, StarsLord semble avoir remplacé ces fonctionnalités de spyware par d’autres fonctionnalités.

Nouvelles fonctionnalités de StarsLord

L’une des nouvelles fonctionnalités de StarsLord est le mécanisme de traçage de l’étape de l’infection. Ce mécanisme de traçage tourne en boucle pour envoyer les informations au serveur C2, cela peut être utilisé par les opérateurs du malware pour organiser les machines infectées en sous-groupes et envoyer des commandes à des systèmes spécifiques.

“Avec la possibilité de tracer l’étape de l’infection, les opérateur du malware peuvent avoir une vue détaillée des infections sur les machines affectées et séparent ces machines en différent groupes,” ont expliqué les chercheurs.

StarsLord a aussi une fonctionnalité d’anti-analyse qui lui permet de piéger les analystes pour isoler leurs machines. Cette fonction se fait appeler checkUniverse et s’exécute grâce à 2 fichiers qui sont déposés sur le système (un fichier .tmp et un fichier .ps1).

Si le système appartient à un analyste, les fichiers téléchargés par le script PowerShell (en réponse à l’exfiltration BITS) sont ensuite écartés.

sLoad continue d’évoluer. En 2018, les chercheurs de Proofpoint avaient déjà remarqué des changement dans le logiciel malveillant, seulement quelques mois après sa découverte.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de