Table des matières
- Malware dans un Installateur Chrome : Une Version Modifiée du RAT Gh0st
- L’Installation Malveillante d’un Malware sur Chrome
- Malware dans un Installateur Chrome : Décryptage et Évasion
- Malware dans un Installateur Chrome : Manipulation du Registre
- Malware dans un Installateur Chrome : Vérification et Persistance
- Fonctionnalités du Gh0st RAT
- Malware dans un Installateur Chrome : Capabilités Étendues
- Cibles et Objectifs
- Exfiltration des Données
Un installateur de Chrome malveillant, nommé ChromeSetup.msi, se propage par téléchargement drive-by. Ce programme installe une nouvelle variante du RAT Gh0st, appelée Gh0stGambit, qui récupère et exécute discrètement des charges utiles cryptées.
Malware dans un Installateur Chrome : Une Version Modifiée du RAT Gh0st
Pour commencer, Gh0stGambit est une version open source modifiée, ciblant les utilisateurs chinois. Ainsi, il vole des données et évite la détection. En plus, ce malware démontre l’intérêt continu des pirates pour Gh0st, un outil polyvalent utilisé dans la cyberespionnage.
L’Installation Malveillante d’un Malware sur Chrome
Ensuite, l’installateur MSI combine un véritable installateur de Chrome avec un programme malveillant. Ce dernier dépose un chargeur caché et un shellcode dans le dossier « C:\Program Files\Windows Defenderr ». Ainsi, le shellcode utilise un chiffrement complexe pour déchiffrer une charge utile cryptée.
Malware dans un Installateur Chrome : Décryptage et Évasion
En outre, la charge utile Gh0stGambit est décompressée avec aPLib. La structure du shellcode suggère l’utilisation du chargeur Donut. Gh0stGambit utilise plusieurs techniques d’évasion, notamment un script batch avec un GUID aléatoire pour assurer la persistance et l’exécution de la charge utile.
Malware dans un Installateur Chrome : Manipulation du Registre
Par ailleurs, le malware utilise une manipulation du registre pour créer un lecteur logique « L: ». Il place un fichier leurre dans le dossier « Startup » pour s’exécuter après un redémarrage. Une nouvelle extension de fichier ‘.VT’ s’enregistre, masquant la nature réelle de la charge utile.
Malware dans un Installateur Chrome : Vérification et Persistance
Gh0stGambit vérifie si Windows Defender fonctionne et exclut le faux répertoire « C:\Program Files\Windows Defenderr » si nécessaire. Sinon, il crée un script pour maintenir la persistance entre les redémarrages. Un script distinct crée des entrées de registre pour exécuter automatiquement des fichiers malveillants au démarrage, et le dropper supprime les fichiers temporaires pour minimiser les traces.
Fonctionnalités du Gh0st RAT
Gh0stGambit récupère des fichiers chiffrés par des URL spécifiques, déchiffrés avec une clé XOR codée en dur. Ainsi, le shellcode utilise le hachage BKDR pour les noms de fonctions API, contournant le chargement traditionnel des DLL.
Malware dans un Installateur Chrome : Capabilités Étendues
Gh0st RAT, écrit en C++, offre des fonctionnalités telles que l’interruption de processus, la suppression de fichiers, la capture d’écran et d’audio, l’exécution de commandes, l’enregistrement de frappes, l’exfiltration de données et des fonctions de rootkit.
Cibles et Objectifs
Ce malware cible les données de navigation, les comptes de messagerie instantanée et les paramètres système. En plus, il manipule les comptes utilisateurs et les services de bureau à distance pour obtenir un accès non autorisé. Ainsi, Gh0st RAT utilise un rootkit pour cacher sa présence et voler des données sensibles.
Exfiltration des Données
Enfin, selon eSentire, Gh0stGambit utilise Mimikatz pour récolter des identifiants, cible les utilisateurs de QQ et exfiltre les données de navigation de Chrome avec une DLL personnalisée. Ce malware se concentre sur la surveillance et le vol d’informations d’identification.
Pour plus d’articles sur les cyberattaques et la cybersécurité, visitez régulièrement GeekFrance.fr.
