Actualités

“C’est une variante de l’open-source MicroBackdoor” : HelloXD s’accompagne de nouveaux ajustements dont une porte dérobée ! (et c’est pas XD…)

Ransomware connu des radars sécuritaires, officiellement, depuis Novembre 2021, HelloXD profite d’une escapade de code issue du logo ClamAV (modifié) pour déverser sa viralité pour chiffrer les données du terminal ainsi infecté. De nouveaux éléments actualisent les connaissances sur ce ransomware.

 

note de texte, de gauche à droite : avant et après le changement.

 

 

 Selon l’équipe Palo Alto Networks (Unit 42) et ses mises en relief, HelloXD prendrait de l’envergure : “nous avons découvert que le ransomware est très probablement développé par un acteur malveillant nommé x4k. Cet acteur de la menace est bien connu sur divers forums de piratage et semble être d’origine russe. L’unité 42 a pu découvrir une activité x4k supplémentaire liée à une infrastructure malveillante, et des logiciels malveillants supplémentaires en plus de l’échantillon de ransomware initial, remontant à 2020 […] Il a également été observé que l’un des échantillons déployait MicroBackdoor, une porte dérobée open source permettant à un attaquant de parcourir le système de fichiers, de charger et de télécharger des fichiers, d’exécuter des commandes et de se retirer du système. Nous pensons que cela a probablement été fait pour surveiller la progression du ransomware et maintenir un pied supplémentaire dans les systèmes compromis“, indique le communiqué, le 10 Juin 2022.

 

arrière-plan de Bureau, de gauche à droite : avant et après.

 

Parmi les évolutions, il est observé un changement de lien dans le fichier note (redirection du lien pour la victime – paiement, échanges – vers une URLs Onion), un changement au niveau de l’arrière-plan de Bureau quand le système est effectivement infecté ou chiffré par HelloXD (écran bleu Windows à écran noir avec le logo fantôme du ransomware) ou encore deux packages distincts (UPX) et ayant un rôle différent (l’un pour masquer la charge virale) pour des fonctionnalités, par contre, assez similaires : “la plus grande différence entre les versions est l’ajout intéressant d’une charge utile secondaire intégrée à la version 2. Cette charge utile est chiffrée à l’aide de l’API WinCrypt, de la même manière que le chargeur obscurci décrit ci-dessus. Une fois déchiffrée, la charge utile est déposée sur System32 avec le nom userlogin.exe avant la création d’un service qui pointe vers elle. userlogin.exe est ensuite exécuté“.

 

La porte dérobée est à une adresse IP communiquant avec le serveur command-and-control qui redirige vers une adresse mail spécifique (tebya at poime [.] li) : bien que les chercheurs pointent un exploit attribuable à un cyber-attaquant russe, il semblerait que les pays des serveurs ou domaines pointent, quant à eux, en Nouvelle Zélande. Entre 2020 et 2021 ces serveurs hébergeait ou résolvaient de nombreux domaines avec, pour presque tous, une mention x4k dans l’url du site Web servant de transit-données. De nombreux éléments de preuve semblent remonter jusqu’à des comptes sociaux (en partie privés) du cyber-attaquant (Vanya Topor ou Ivan Topor) avec des visuels qui font échos au logo HelloXD, notamment. A noter que des échantillons ou traces du ransomware ont été observées et ont commencé à être répertoriés en analyse croisée avec le malware Bazaar (Loader)… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6