Un nouveau cheval de Troie d’accès à distance (RAT) appelé « ResolverRAT » est utilisé contre des organisations à l’échelle mondiale, avec le malware utilisé dans les récentes attaques ciblant les secteurs de la santé et pharmaceutique.
ResolverRAT est distribué par le biais d’e-mails de phishing prétendant être des violations légales ou de droits d’auteur adaptées aux langues correspondant au pays de la cible.
Les e-mails contiennent un lien pour télécharger un exécutable légitime (‘hpreader.exe’), qui est exploité pour injecter ResolverRAT en mémoire en utilisant le chargement de DLL réfléchissant.
Le malware précédemment non documenté a été découvert par Morphisec, qui a noté que la même infrastructure de phishing était documentée dans des rapports récents de Check Point et Cisco Talos.
Cependant, ces rapports ont mis en évidence la distribution des voleurs de Rhadamanthys et de Lumma, ne parvenant pas à capturer la charge utile distincte de ResolverRAT.
Capacités de résolution
ResolverRAT est une menace furtive qui s’exécute entièrement en mémoire, tout en abusant également des événements. NET ‘ResourceResolve’ pour charger des assemblys malveillants sans effectuer d’appels d’API qui pourraient être signalés comme suspects.
« Ce détournement de résolveur de ressources représente l’évolution des logiciels malveillants à son meilleur – utilisant un mécanisme.NET négligé pour fonctionner entièrement dans la mémoire gérée, contournant la surveillance de sécurité traditionnelle axée sur les opérations de l’API Win32 et du système de fichiers », décrit Morphisec.
Les chercheurs rapportent que ResolverRAT utilise une machine à états complexe pour obscurcir le flux de contrôle et rendre l’analyse statique extrêmement difficile, détectant les outils de bac à sable et d’analyse en prenant des empreintes digitales des demandes de ressources.
Même s’il s’exécute en présence d’outils de débogage, son utilisation de code/opérations trompeuses et redondantes est conçue pour compliquer l’analyse.
Le logiciel malveillant sécurise la persistance en ajoutant des clés masquées par XOR sur un maximum de 20 emplacements dans le registre Windows. En même temps, il s’ajoute également aux emplacements du système de fichiers tels que « Démarrage », « Fichiers de programme » et « LocalAppData ».’
Le résolveur tente d’abord de se connecter à des rappels planifiés à intervalles aléatoires pour échapper à la détection basée sur des modèles de balisage irréguliers.
Chaque commande envoyée par les opérateurs est gérée dans un thread dédié, ce qui permet l’exécution parallèle des tâches tout en garantissant que les commandes échouées ne bloquent pas le logiciel malveillant.
Bien que Morphisec ne se penche pas sur le résolveur de commandes QU’IL prend en charge, il mentionne des capacités d’exfiltration de données avec un mécanisme de segmentation pour les transferts de données volumineux.
Plus précisément, les fichiers de plus de 1 Mo sont divisés en morceaux de 16 Ko, ce qui permet d’échapper à la détection en mélangeant le trafic malveillant avec des modèles normaux.
Avant d’envoyer chaque bloc, le résolveur vérifie d’abord si le socket est prêt à écrire, évitant ainsi les erreurs provenant de réseaux encombrés ou instables.
Le mécanisme offre une gestion optimale des erreurs et une récupération des données, reprenant les transferts à partir du dernier bloc réussi.
Morphisec a observé des attaques de phishing en Italien, Tchèque, Hindi, Turc, Portugais et Indonésie, de sorte que le logiciel malveillant a une portée opérationnelle mondiale qui pourrait être étendue à d’autres pays.