Un acteur de menace non identifié a été observé en train d’utiliser un chargeur de logiciels malveillants « complexe et puissant » dans le but ultime de déployer des mineurs de crypto-monnaie sur des systèmes compromis et de faciliter potentiellement le vol de jetons Discord.

« Les preuves trouvées sur les réseaux victimes semblent indiquer que l’objectif de l’attaquant était d’installer un logiciel d’extraction de crypto-monnaie sur les machines victimes », ont déclaré des chercheurs de l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, dans un rapport partagé avec breachtrace.

« Cela semble être un objectif relativement peu rémunérateur pour l’attaquant compte tenu du niveau d’effort qui aurait été nécessaire pour développer ce logiciel malveillant sophistiqué. »

Ce logiciel malveillant avancé, surnommé Verblecon, aurait été repéré pour la première fois il y a deux mois en janvier 2022, avec la charge utile incorporant des qualités polymorphes pour échapper aux détections basées sur les signatures par les logiciels de sécurité.

De plus, le chargeur effectue d’autres vérifications anti-analyse pour déterminer s’il est actuellement débogué ou ouvert dans un environnement virtuel ou en bac à sable, avant de se copier dans la machine et de se connecter à un serveur distant pour récupérer un blob chiffré contenant un URL, qui est ensuite utilisée pour récupérer les charges utiles du mineur.

« L’activité que nous avons vue réalisée à l’aide de ce chargeur sophistiqué indique qu’il est utilisé par un individu qui ne réalise peut-être pas les capacités du logiciel malveillant qu’il utilise », ont souligné les chercheurs.

« Cependant, s’il tombait entre les mains d’un acteur plus sophistiqué, il est possible que ce chargeur soit utilisé pour des attaques plus graves, y compris potentiellement des campagnes de ransomware et d’espionnage. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *