Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

ScarCruft Hacks Gaming Platform to Deploy BirdCall Malware on Android and Windows

1 minute de lecture

Mis à jour :

Compromission de la chaîne d’approvisionnement par le groupe ScarCruft

Le groupe de menace persistante avancée (APT) nord-coréen ScarCruft (également connu sous le nom d’APT37) a mené une attaque par compromission de chaîne d’approvisionnement ciblant la plateforme de jeux sqgame[.]net. Cette opération, active depuis fin 2024, vise principalement les résidents d’origine coréenne de la région de Yanbian en Chine, une zone de transit sensible pour les transfuges nord-coréens.

Points clés

  • Multi-plateforme : Les attaquants ont déployé le logiciel malveillant BirdCall sur Windows et Android via des composants de jeux modifiés.
  • Objectif : Espionnage et surveillance étendue des utilisateurs (vol de données personnelles, capture d’écran, enregistrement audio, exfiltration de fichiers).
  • Infrastructure C2 : Le malware utilise des services cloud légitimes (Dropbox, pCloud, Yandex Disk, Zoho WorkDrive) pour le stockage des données exfiltrées et le pilotage des systèmes infectés.
  • Évolution : BirdCall est une évolution technique héritée des familles RokRAT et RambleOn, bien qu’il s’agisse d’une architecture distincte.

Vulnérabilités exploitées

  • Attaque par chaîne d’approvisionnement : Altération des paquets d’installation (APK) sur le site légitime et distribution de DLL malveillantes via les mises à jour du client Windows.
  • Détection d’environnement : Le downloader Windows effectue des vérifications pour identifier la présence d’outils d’analyse ou de machines virtuelles afin d’échapper à la détection par les chercheurs en cybersécurité.
  • Note : Aucune CVE spécifique n’est mentionnée, l’attaque repose sur l’ingénierie sociale et la compromission directe de la plateforme de distribution.

Recommandations

  • Vérification des sources : Éviter de télécharger des applications ou des mises à jour sur des sites tiers ou non officiels, particulièrement pour les plateformes de jeux moins connues.
  • Surveillance réseau : Bloquer ou surveiller les connexions sortantes vers des services cloud grand public qui ne sont pas explicitement requis par les activités professionnelles ou personnelles.
  • Analyse comportementale : Utiliser des solutions de sécurité capables de détecter des comportements anormaux (exfiltration de données, exécution de scripts Ruby/Python non sollicités).
  • Mise à jour des systèmes : S’assurer que les appareils Android et Windows sont protégés par une solution EDR/Antivirus à jour, capable d’identifier les DLL modifiées ou les processus suspects.

Source

Vous pourriez aimer