Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks

3 minute de lecture

Mis à jour :

Campagnes de Malware Ciblées via des Techniques SEO et des Plateformes Légitimes

Des utilisateurs sinophones sont la cible de campagnes de malwares exploitant des techniques d’optimisation pour les moteurs de recherche (SEO) et des plateformes de développement couramment utilisées. Des sites web frauduleux imitant des éditeurs de logiciels légitimes sont créés grâce à des noms de domaine similaires et un langage persuasif, incitant les victimes à télécharger des installateurs piégés. Ces derniers contiennent des familles de malwares telles que HiddenGh0st, Winos (ValleyRAT) et le nouveau kkRAT. Une campagne distincte utilise des pages hébergées sur GitHub Pages pour distribuer Winos, kkRAT et FatalRAT.

Points Clés :

  • Ciblage géographique et linguistique : Les utilisateurs sinophones sont spécifiquement visés.
  • Techniques de distribution :
    • SEO Poisoning : Manipulation des résultats de recherche pour diriger les utilisateurs vers de faux sites de téléchargement de logiciels (DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp, WPS Office, DingTalk).
    • GitHub Pages : Utilisation de plateformes de développement légitimes pour héberger des pages de phishing.
  • Malware distribué :
    • HiddenGh0st et Winos (ValleyRAT) : Variantes du RAT Gh0st, associées au groupe Silver Fox.
    • kkRAT : Nouveau RAT avec des similitudes avec Gh0st RAT et Big Bad Wolf.
    • FatalRAT : Mentionné dans une campagne distincte.
  • Mécanismes d’infection :
    • Installateurs trojanisés contenant le logiciel légitime et le payload malveillant.
    • Scripts (nice.js) orchestrant le téléchargement du malware via des chaînes de JSON.
    • Utilisation de DLLs malveillantes (EnumW.dll, vstdlib.dll, AIDE.dll) pour contourner les analyses et établir la persistance.
    • Technique de “TypeLib COM hijacking” pour assurer la persistance si l’antivirus 360 Total Security est détecté.
    • Création de raccourcis Windows pour la persistance en l’absence d’antivirus spécifique.
    • Déploiement de shellcodes et téléchargement d’archives ZIP contenant des exécutables légitimes et des DLLs malveillantes pour le DLL side-loading.
  • Fonctionnalités des RATs :
    • Communication chiffrée avec le serveur C2.
    • Collecte de données système et utilisateur.
    • Surveillance des processus en cours par rapport à une liste de produits de sécurité.
    • Enregistrement des frappes clavier et vol de données du presse-papiers.
    • Vol de portefeuilles de cryptomonnaies (Ethereum, Tether).
    • Captures d’écran et simulation d’actions utilisateur.
    • Désactivation de l’antivirus par des techniques telles que BYOVD (Bring Your Own Vulnerable Driver) en réutilisant du code open-source (RealBlindingEDR).
    • Modification du registre et création de tâches planifiées pour maintenir la persistance et désactiver les protections.
    • Installation d’outils de contrôle à distance (RMM) comme Sunlogin et GotoHTTP.
    • Fonctionnalités de proxy SOCKS5.
  • Techniques d’évasion :
    • Vérifications anti-analyse pour contourner la détection.
    • Gonflement de l’utilisation mémoire pour ralentir les outils d’analyse.
    • Vérification de la présence de logiciels antivirus spécifiques (notamment les suites 360).
    • Détection d’environnements virtuels (VMs) et de sandboxes.
    • Désactivation des cartes réseau pour interférer avec les antivirus.
    • Utilisation de BYOVD pour désactiver des logiciels antivirus spécifiques (360 Internet Security, 360 Total Security, HeroBravo System Diagnostics, Kingsoft Internet Security, QQ电脑管家).

Vulnérabilités :

Aucune vulnérabilité spécifique avec des identifiants CVE n’est mentionnée dans l’article. L’exploitation repose sur l’ingénierie sociale, la manipulation SEO et des techniques d’évasion, plutôt que sur des failles logicielles distinctes.

Recommandations :

  • Inspection minutieuse des noms de domaine : Vérifier attentivement l’URL avant de télécharger tout logiciel.
  • Prudence avec les résultats de recherche : Être particulièrement vigilant avec les logiciels trouvés via des recherches en ligne, même s’ils apparaissent en haut des résultats.
  • Utilisation de solutions de sécurité robustes : Maintenir à jour des logiciels antivirus et antimalware fiables.
  • Méfiance face aux installateurs suspects : Ne pas exécuter d’installateurs provenant de sources non fiables ou non vérifiées.
  • Sensibilisation aux techniques d’ingénierie sociale : Comprendre comment les attaquants manipulent la confiance pour distribuer des malwares.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces