Les chercheurs en cybersécurité ont fait la lumière sur un chargeur malveillant qui fonctionne comme un serveur et exécute les modules reçus en mémoire, mettant à nu la structure d’une « machine virtuelle multicouche avancée » utilisée par le malware pour voler sous le radar.

Wslink, comme on appelle le chargeur malveillant, a été documenté pour la première fois par la société slovaque de cybersécurité ESET en octobre 2021, avec très peu de résultats de télémétrie détectés au cours des deux dernières années couvrant l’Europe centrale, l’Amérique du Nord et le Moyen-Orient.

L’analyse des échantillons de logiciels malveillants n’a fourni que peu ou pas d’indices sur le vecteur de compromis initial utilisé, et aucun code, fonctionnalité ou similitude opérationnelle n’a été découvert pour suggérer qu’il s’agit d’un outil d’un acteur de menace précédemment identifié.

Emballé avec un utilitaire de compression de fichiers nommé NsPack, Wslink utilise ce qu’on appelle une machine virtuelle de processus (VM), un mécanisme pour exécuter une application d’une manière indépendante de la plate-forme qui fait abstraction du matériel ou du système d’exploitation sous-jacent, comme une méthode d’obscurcissement mais avec une différence cruciale.

« Les machines virtuelles utilisées comme moteurs d’obfuscation […] ne sont pas destinées à exécuter des applications multiplateformes et elles prennent généralement du code machine compilé ou assemblé pour un ISA [architecture de jeu d’instructions] connu, le désassemblent et le traduisent en leur propre ISA virtuel,  » a déclaré Vladislav Hrčka, analyste des logiciels malveillants chez ESET.

« La force de cette technique d’obscurcissement réside dans le fait que l’ISA de la VM est inconnue de tout rétro-ingénieur potentiel – une analyse approfondie de la VM, qui peut prendre beaucoup de temps, est nécessaire pour comprendre la signification des instructions virtuelles et d’autres structures de la VM. »

De plus, le package de logiciels malveillants virtualisés Wslink est livré avec un arsenal diversifié de tactiques pour entraver l’ingénierie inverse, y compris le code indésirable, l’encodage d’opérandes virtuels, la fusion d’instructions virtuelles et l’utilisation d’une machine virtuelle imbriquée.

« Les techniques d’obscurcissement sont une sorte de protection logicielle destinée à rendre le code difficile à comprendre et donc à dissimuler ses objectifs ; les techniques d’obscurcissement des machines virtuelles sont devenues largement utilisées à des fins illicites telles que l’obscurcissement d’échantillons de logiciels malveillants, car elles entravent à la fois l’analyse et la détection »,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *