{"id":398497,"date":"2023-05-10T12:00:11","date_gmt":"2023-05-10T11:00:11","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=398497"},"modified":"2024-01-30T15:43:06","modified_gmt":"2024-01-30T14:43:06","slug":"malware-redline-extension-chrome-campagne-malveillante-envergure","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/malware-redline-extension-chrome-campagne-malveillante-envergure\/","title":{"rendered":"Malware RedLine : d\u2019une extension Chrome \u00e0 une campagne malveillante d\u2019envergure"},"content":{"rendered":"

[vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_column_text]L\u2019arbre qui cache la for\u00eat, illustration cyber. En partant d\u2019une analyse d\u2019une simple extension Google Chrome malveillante, l\u2019\u00e9quipe de Cyber Threat Intelligence de Stormshield a mis en lumi\u00e8re une campagne d\u2019envergure. Entre IOCs, binaires et ex\u00e9cutables, plong\u00e9e technique autour du malware RedLine.<\/strong><\/p>\n

Lors de sa veille, l'\u00e9quipe Stormshield Customer Security Lab (SCSL) se penche sur un tweet d'un chercheur de Sekoia.io<\/a> concernant une extension malveillante pour Google Chrome. Celle-ci s\u2019av\u00e8re sobrement classique au niveau de son fonctionnement, dans le but d'exfiltrer les donn\u00e9es des internautes, du simple historique de navigation aux cookies de connexion en passant par les fichiers pr\u00e9sents sur le disque. Mais un \u0153il averti sur la campagne de distribution a fait ressortir plusieurs signaux forts. Les membres de l\u2019\u00e9quipe SCSL ont alors creus\u00e9 et remont\u00e9 la piste jusqu'au vecteur de distribution. Deep dive<\/em> dans RedLine.<\/p>\n

 <\/p>\n

Vue d\u2019ensemble de la campagne<\/h2>\n

En exposant une cha\u00eene d\u2019attaque complexe, nos chercheurs ont identifi\u00e9 une nouvelle campagne, utilisant les malwares Smoke Loader, Amadey<\/a> et RedLine. Si Amadey est un botnet utilis\u00e9 pour distribuer d'autres malwares, RedLine<\/a> est quant \u00e0 lui un trojan stealer qui a pour but de voler des donn\u00e9es comme des mots de passe, des portefeuilles de cryptomonnaies ou encore des num\u00e9ros de cartes de cr\u00e9dit. Jusqu\u2019ici, rien de r\u00e9volutionnaire non plus, les deux malwares \u00e9tant connus depuis 2018 et 2020.<\/p>\n

Suivant un d\u00e9roulement classique, les victimes sont invit\u00e9es \u00e0 t\u00e9l\u00e9charger un fichier ex\u00e9cutable depuis un site malveillant. Une zone d\u2019ombre existe encore quant \u00e0 la technique utilis\u00e9e pour acc\u00e9der \u00e0 ce fichier, mais les exemples connus autour du malware RedLine sont d\u00e9j\u00e0 nombreux, des commentaires sur des vid\u00e9os YouTube<\/a> aux fausses applications Discord<\/a>. Les victimes vont ensuite ex\u00e9cuter ce fichier, pensant \u00eatre en pr\u00e9sence d\u2019une application l\u00e9gitime.<\/p>\n

Ce programme malveillant va alors contacter un serveur de Command and Control<\/em> (C2), qui va lui fournir une URL contenant des ex\u00e9cutables \u00e0 t\u00e9l\u00e9charger et installer. D\u00e9couverte dans le cas de notre analyse, la particularit\u00e9 de cette campagne est l'utilisation de d\u00e9p\u00f4ts Bitbucket.org publics pour la distribution de ces logiciels malveillants<\/strong>. Pour information, Bitbucket.org est un service en ligne de gestion d'applications, incluant le code source et les versions distribuables. L'analyse de ces d\u00e9p\u00f4ts Bitbucket.org nous a permis de d\u00e9couvrir la pr\u00e9sence de plusieurs stealers ainsi que de serveurs C2. En fonction des informations fournies par son C2, le programme va alors t\u00e9l\u00e9charger diff\u00e9rentes ressources, suivant deux sc\u00e9narios : une s\u00e9rie d\u2019ex\u00e9cutables et le lancement d\u2019un stealer derri\u00e8re une fausse extension pour Google Chrome d\u2019un c\u00f4t\u00e9, et de l\u2019autre, le simple lancement d\u2019un stealer.[\/vc_column_text][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_empty_space][vc_single_image image=\"398498\" img_size=\"large\" alignment=\"center\" qode_css_animation=\"\"][vc_column_text]<\/p>\n

Figure 1 : Cha\u00eene d'attaque<\/small><\/em><\/p>\n

[\/vc_column_text][vc_empty_space][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_column_text]<\/p>\n

Le m\u00e9canisme d\u2019attaque de la campagne<\/h2>\n

Toolspub2, Lega, Oneetx : vecteur initial et premiers ex\u00e9cutables<\/h3>\n

Toolspub2.exe<\/strong><\/h4>\n

Toolspub2.exe est le vecteur initial. L\u2019internaute va le t\u00e9l\u00e9charger depuis hxxp:\/\/respokt5569[.]com<\/code>.<\/p>\n

Ce binaire (d357ee75ad99cffebca2ad9bd3daff07dde0c7b54dcc115e5620a148b4ef0936<\/code>) est un sample de la famille du malware Smoke Loader, qui permet de d\u00e9poser et d'ex\u00e9cuter d\u2019autres charges sur un poste compromis.<\/p>\n

Lega.exe<\/strong><\/h4>\n

Ce second binaire (7788bdad16dc89ceb5d5c4cdfd0acc23175f03af715a7c67c41a5b3cec418f6b<\/code>) a \u00e9t\u00e9 trouv\u00e9 sous plusieurs noms diff\u00e9rents et correspond \u00e0 chaque fois \u00e0 un ensemble d'archives auto-extractibles imbriqu\u00e9es les unes dans les autres.<\/p>\n

Une fois les d\u00e9compressions effectu\u00e9es, cet ex\u00e9cutable en d\u00e9pose plusieurs autres (oneext.exe, virus.exe, togwcstgxg.exe ou encore ghostworker.exe) et lance le t\u00e9l\u00e9chargement du fichier clip.dll (f336fa91d52edf1a977a5b8510c1a7b0b22dd6d51576765e10a1fc98fb38109f<\/code>) se trouvant \u00e0 l'URL 212[.]113.199.255\/joomla\/clip.dll<\/code>. Oneetx.exe est ensuite lanc\u00e9.<\/p>\n

Oneetx.exe<\/strong><\/h4>\n

Cet ex\u00e9cutable (13b4b17671c12fd3f9db5491efb7fb389601b57ac7f89fd78638625c1ef201e4<\/code>) est un sample d'Amadey. Amadey est un botnet apparu vers octobre 2018 et vendu pour environ 500$ sur des forums de piratage russophones. Une fois install\u00e9 sur l'ordinateur d'une victime, il envoie p\u00e9riodiquement des informations sur le syst\u00e8me et les logiciels anti-virus install\u00e9s \u00e0 son serveur C2. Cela permet de conna\u00eetre les moyens de protection d\u00e9ploy\u00e9s sur le syst\u00e8me cibl\u00e9 avant effectuer d\u2019autres actions.Oneetx.exe interroge ensuite ce serveur pour recevoir des ordres de sa part. Sa principale fonctionnalit\u00e9 est de lancer d'autres charges malveillantes sur les postes compromis.<\/p>\n

Oneetx.exe t\u00e9l\u00e9charge et d\u00e9ploie d\u2019autres malwares pour poursuivre l'attaque (cf. plus loin dans l\u2019article<\/em>). Les ex\u00e9cutables t\u00e9l\u00e9charg\u00e9s sont r\u00e9cup\u00e9r\u00e9s sur des URL qui changent avec le temps. Pour obtenir l'adresse des binaires \u00e0 t\u00e9l\u00e9charger, Oneetx.exe commence par communiquer avec son serveur C2 sur une adresse \u00e9crite en dur. Cette premi\u00e8re communication contient quelques informations sur le syst\u00e8me cible permettant de l'identifier (comme le nom de la machine, celui de l'utilisateur ou encore l\u2019identifiant g\u00e9n\u00e9r\u00e9 par le malware). Si le serveur remarque que le syst\u00e8me cible est d\u00e9j\u00e0 infect\u00e9, sa r\u00e9ponse est vide. Autrement, le C2 r\u00e9pond par une liste d'URL r\u00e9f\u00e9ren\u00e7ant les ex\u00e9cutables \u00e0 t\u00e9l\u00e9charger, puis \u00e0 ex\u00e9cuter.<\/p>\n

Ces URL sont chiffr\u00e9es et encod\u00e9es. La cl\u00e9 de chiffrement est stock\u00e9e en dur dans l'ex\u00e9cutable de Oneetx.exe.[\/vc_column_text][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_empty_space][vc_single_image image=\"402339\" img_size=\"large\" alignment=\"center\" qode_css_animation=\"\"][vc_column_text]<\/p>\n

Figure 2 : processus de r\u00e9cup\u00e9ration des charges malveillantes<\/small><\/em><\/p>\n

[\/vc_column_text][vc_empty_space][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_row_inner row_type=\"row\" type=\"full_width\" text_align=\"left\" css_animation=\"\"][vc_column_inner][vc_column_text]<\/p>\n

L\u2019utilisation de d\u00e9p\u00f4ts Bitbucket.org<\/h3>\n

Lors de notre analyse dans les \u00e9changes entre les ex\u00e9cutables et les serveurs C2, nous avons trouv\u00e9 plusieurs d\u00e9p\u00f4ts Bitbucket.org publics. Ces d\u00e9p\u00f4ts ont eu une dur\u00e9e d'exploitation comprise entre un et dix jours.[\/vc_column_text][\/vc_column_inner][\/vc_row_inner][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_empty_space][vc_column_text]

\n
Name of the deposit<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
User<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
Creation date<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
First activity<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
Last activity<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td><\/tr>
coldminusthousand\/needheater\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
Helio Hellard\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
19\/02\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
04\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
09\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td><\/tr>
dushanbepromo-kingsof\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
Rustam Boboev<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
05\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td><\/tr>
8phyxsdd8t5e\/8phyxsdd8t5e\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
qwert3033\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td><\/tr>
kinggodsoft-kinggodsoft\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
qwert3033\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td>
24\/04\/2023\t<\/span> <\/div>
<\/div>
<\/i> <\/i> <\/i><\/div><\/div><\/div><\/td><\/tr><\/tbody><\/table><\/div>\n[\/vc_column_text][vc_empty_space][\/vc_column][\/vc_row][vc_row css_animation=\"\" row_type=\"row\" use_row_as_full_screen_section=\"no\" type=\"full_width\" angled_section=\"no\" text_align=\"left\" background_image_as_pattern=\"without_pattern\"][vc_column][vc_row_inner row_type=\"row\" type=\"full_width\" text_align=\"left\" css_animation=\"\"][vc_column_inner][vc_column_text]Les trois derniers d\u00e9p\u00f4ts h\u00e9bergeaient certains fichiers identiques comme \"Heaven.exe<\/em>\", \"build_2.exe<\/em>\" ou \"123_1.exe<\/em>\". \u00c0 partir du 24\/04\/2023, les d\u00e9p\u00f4ts Bitbucket.org ont \u00e9t\u00e9 abandonn\u00e9s au profit d'autres sites tels que :<\/p>\n