Des chercheurs en cybersécurité ont détaillé le fonctionnement interne d’un chargeur très évasif appelé « in2al5d p3in4er » (lire : imprimante invalide) qui est utilisé pour diffuser le logiciel malveillant voleur d’informations Aurora.

« Le chargeur in2al5d p3in4er est compilé avec Embarcadero RAD Studio et cible les postes de travail en utilisant une technique anti-VM (machine virtuelle) avancée », a déclaré la société de cybersécurité Morphisec dans un Rapport transmis à The Hacker News à The Hacker News.

Aurora est un voleur d’informations basé sur Go qui est apparu dans le paysage des menaces à la fin de l’année 2022. Proposé à d’autres acteurs en tant que logiciel malveillant, il est distribué par le biais de vidéos YouTube et de faux sites web de téléchargement de logiciels piratés à l’aide de moteurs de recherche.

En cliquant sur les liens présents dans les descriptions des vidéos YouTube, la victime est redirigée vers des sites web leurres où elle est incitée à télécharger le logiciel malveillant sous la forme d’un utilitaire apparemment légitime.

Le chargeur analysé par Morphisec est conçu pour interroger l’identifiant du fournisseur de la carte graphique installée sur un système et le comparer à un ensemble d’identifiants de fournisseurs autorisés (AMD, Intel ou NVIDIA). Si la valeur ne correspond pas, le chargeur se termine lui-même.

Le chargeur décrypte finalement la charge utile finale et l’injecte dans un processus légitime appelé « sihost.exe » à l’aide d’une technique appelée « process hollowing ». Par ailleurs, certains échantillons de chargeurs allouent également de la mémoire pour écrire la charge utile décryptée et l’invoquer à partir de là.

« Au cours du processus d’injection, tous les échantillons de chargeurs résolvent dynamiquement les API Win nécessaires et décryptent ces noms à l’aide d’une clé XOR : ‘in2al5d p3in4er' », ont déclaré les chercheurs en sécurité Arnold Osipov et Michael Dereviashkin.

Un autre aspect crucial du chargeur est son utilisation d’Embarcadero RAD Studio pour générer des exécutables pour plusieurs plates-formes, ce qui lui permet d’échapper à la détection.

« Ceux qui ont le taux de détection le plus bas sur VirusTotal sont compilés à l’aide de ‘BCC64.exe’, un nouveau compilateur C++ d’Embarcadero basé sur Clang », a déclaré la société israélienne de cybersécurité, soulignant sa capacité à échapper aux bacs à sable et aux machines virtuelles.

Ce compilateur utilise une base de code différente, comme la « bibliothèque standard » (Dinkumware) et la « bibliothèque d’exécution » (compiler-rt), et génère un code optimisé qui modifie le point d’entrée et le flux d’exécution. Cela permet de casser les indicateurs des fournisseurs de sécurité, tels que les signatures composées de ‘blocs de code malveillants/suspicieux' ».

En résumé, les résultats montrent que les acteurs de la menace derrière in2al5d p3in4er utilisent des méthodes d’ingénierie sociale pour une campagne à fort impact qui utilise YouTube comme canal de distribution de logiciels malveillants et dirige les spectateurs vers de faux sites web d’apparence convaincante pour distribuer le logiciel malveillant voleur.

Ce développement intervient alors qu’Intel 471 a mis au jour un autre chargeur de logiciels malveillants, AresLoader, commercialisé pour 300 dollars par mois comme un service permettant aux acteurs criminels de diffuser des voleurs d’informations déguisés en logiciels populaires à l’aide d’un outil de liaison. Ce chargeur est soupçonné d’avoir été développé par un groupe lié à l’hacktivisme russe.

Parmi les principales familles de logiciels malveillants diffusées à l’aide d’AresLoader depuis janvier 2023 figurent Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc et SystemBC.