• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Ses capacités et sa prévalence en font une menace redoutable” : aux relents de CobaltStrike et Metasploit, DarkTorilla, un malware actif au moins depuis 2015 !

Si le paysage insécuritaire ne manque aucunement de cyber-menaces latentes ou en cours, certaines semblent survoler les années sans être réellement inquiétées alors-même qu’elles étaient sous les yeux de tous et toutes : les chercheurs de SecureWorks reviennent plus en détails (techniques) sur DarkTortilla, un malware de la famille des crypteurs. Véritable couteau-suisse, les échantillons de codes ont révélés l’exploitation d’autres malwares ce qui le rend encore plus tenace avec un spectre de cyber-attaque et de moyens de diffusion assez vastes.

 

 

DarkTortilla est un crypteur complexe et hautement configurable basé sur .NET qui est peut-être actif depuis au moins août 2015. Il fournit généralement des voleurs d’informations populaires et des chevaux de Troie d’accès à distance (RAT) tels que AgentTesla, AsyncRat, NanoCore et RedLine […] Bien qu’il semble diffuser principalement des logiciels malveillants de base, les chercheurs de Secureworks ont identifié des échantillons de DarkTortilla fournissant des charges utiles ciblées telles que Cobalt Strike et Metasploit […] De janvier 2021 à mai 2022, une moyenne de 93 échantillons uniques de DarkTortilla par semaine ont été téléchargés sur le service d’analyse VirusTotal. Les similitudes de code suggèrent des liens possibles entre DarkTortilla et d’autres logiciels malveillants : un crypteur exploité par le groupe de menaces RATs Crew, qui était actif entre 2008 et 2012, et le logiciel malveillant Gameloader qui a émergé en 2021 […] Le code DarkTortilla partage des similitudes avec d’autres logiciels malveillants. Par exemple, la compression de la charge utile, l’inclusion de code indésirable et l’exécution de la charge utile via RunPe6 sont également des fonctionnalités d’un crypteur RATs Crew mis à jour pour la dernière fois en 2016. DarkTortilla pourrait représenter une évolution de ce crypteur. De plus, le malware Gameloader utilise des leurres et des fichiers d’archives similaires à ceux de DarkTortilla. Il exploite également les ressources .NET pour stocker des DLL encodées et des images bitmap chiffrées et fournit des charges utiles de logiciels malveillants similaires“, est-il indiqué dans le billet sécuritaire des chercheurs, le 17 Août 2022.

 

Les charges virales, en teneur, sont, également, assez vastes (y compris des faux-documents “leurres“) et, dans le cadre d’une campagne type phishing, DarkTortilla peut résider dans une pièce jointe (ISO, ZIP, IMG, DMG, TAR) depuis un mail rédigé selon la langue originelle de la victime (anglais, allemand, roumain, espagnol, italien, bulgare : rien que pour l’échantillon analysé). Un exécutable réside et, une fois ouvert depuis l’archive, cela amorce la charge initiale. Des documents peuvent, également, être envoyés dans les mails en tant que pièce jointe : dans ce cas, un objet Shell sera instillé depuis la charge initiale qui sera exécutée (ouverte). Enfin et encore plus dangereux (puisque facilement exploitable) : le cas des macros-commandes est souligné pour le crypteur qui peut être exécuté et initié depuis une simple macro dans un document…

 

Composition générale de DarkTortilla :

 

  • Chargeurs initiaux (.exe reposant sur .NET – de-chiffrement, chargement, exécution du processeur central) : ces derniers ont été repérés depuis des sites spécialisés, notamment, dans le copié-collé de liens (pastebin, textbin, paste). La viralité est émise après quelques vérifications au niveau de la connectivité Internet (via un HTTP GET). L’ensemble est chiffré et stocké depuis .NET via une image bitmap. Champ d’action : affichage d’une webmail tronquée, opérations de vérifications ou de veille persistante (anti-VM, anti-sandbox), exécution de la persistance, migration de l’exécution en fichiers TEMPs, exécution éventuelle de modules complémentaires, migration de l’exécution en répertoire originelle. Une clé de 16 octets est générée pour déchiffrer le processus principal L’ensemble est étonnamment structuré, ce qui annonce un redoutable malware puisque très organisé, jusque dans les rangements post-infection première ;

  • Processus principal (.dll reposant sur .NET- injection, exécution) : étendue plus ou moins large suivant si ce Core est affiné ou non en terme de paramétrage. Plusieurs verrous ou vérifications permettent d’éviter tout conflit avec les différents étapes de l’infection-système, ce qui démontre une méthodologie avancée.

 

 

Selon les différentes étapes d’infection, la persistance peut aller jusque dans le registre Windows avec un masquage ou non (plusieurs variantes) des clés ou valeurs (malveillantes) du registre. “DarkTortilla est capable d’échapper à la détection, est hautement configurable et fournit une large gamme de logiciels malveillants populaires et efficaces. Ses capacités et sa prévalence en font une menace redoutable“, achèvent les chercheurs… A veiller !

 

 

 

Source : SecureWorks – 17 Août 2022 – DarkTortilla : retrospective insécuritaire (analyse d’échantillons).

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0