Deadglyph : Un aperçu détaillé d’un malware sophistiqué et de ses techniques d’évasion

La sophistication du malware Deadglyph et sa capacité à échapper à la détection font de lui une menace particulièrement redoutable.

Une fois installé, il peut collecter des données sensibles sur le système compromis et donner aux cybercriminels un contrôle étendu sur l’ordinateur infecté.

Il a été utilisé lors d’une attaque de cyberespionnage contre une agence gouvernementale au Moyen-Orient. Ce malware est attribué au groupe de piratage Stealth Falcon APT (également connu sous les noms de Project Raven ou FruityArmor), un groupe soutenu par l’État des Émirats arabes unis (EAU). Ce groupe est connu pour cibler des activistes, des journalistes et des dissidents depuis près d’une décennie.

Lors de la conférence LABScon dédiée à la cybersécurité, Filip Jurčacko, un expert d’ESET, a dévoilé ses découvertes sur un malware modulaire récent et son mode d’infection des systèmes Windows. Même si ESET n’a pas de détails exacts sur la manière dont l’infection débute, il est probable qu’un fichier exécutable nuisible, comme un installateur, soit impliqué. Néanmoins, grâce aux éléments clés de la chaîne d’infection récupérés, ESET a pu décrypter le fonctionnement du malware et ses techniques d’évasion.

Les entreprises doivent rester vigilantes et mettre en place des mesures préventives pour se protéger contre cette menace grandissante. Parmi ces mesures, on retrouve notamment :

  • La mise à jour régulière des systèmes d’exploitation et des logiciels pour corriger les vulnérabilités.
  • L’utilisation de solutions antivirus efficaces pour détecter et bloquer les menaces telles que Deadglyph.
  • La sensibilisation des employés aux techniques d’ingénierie sociale souvent exploitées par les acteurs malveillants pour propager leurs logiciels malveillants.

La chaîne de chargement Deadglyph

La chaîne de chargement Deadglyph, une menace émergente dans le cyberespace, utilise des techniques sophistiquées pour infecter les systèmes Windows. Elle commence par un chargeur de shellcode de registre qui extrait le code du registre Windows pour charger le composant Executor. Ce dernier charge ensuite le composant Orchestrator.

L’une des techniques de tromperie utilisées est l’attaque homoglyphique se trouvant dans la ressource VERSIONINFO. Les acteurs malveillants ont recours à des caractères Unicode grecs et cyrilliques distincts pour imiter les informations de Microsoft et ainsi apparaître comme un fichier Windows légitime.

deadglyph chargement des composants de la chaine
Deadglyph, chargement des composants de la chaîne – Source ESeT

La nature modulaire du malware Deadglyph

Ce qui rend Deadglyph particulièrement dangereux est sa nature modulaire. Il télécharge des nouveaux modules depuis le serveur C2 (commande et contrôle) qui contiennent différents shellcodes devant être exécutés par le composant Executor. Ces modules ont accès aux API Windows et aux API Executor personnalisées, ces dernières offrant 39 fonctions qui permettent les opérations sur les fichiers, le chargement des exécutables, l’accès à Token Impersonation, le chiffrement et le hachage.

Le collecteur d’informations

Le collecteur d’informations utilise des requêtes WMI (Windows Management Instrumentation) pour rassembler diverses informations sur le système compromis. Il s’agit notamment des détails concernant le système d’exploitation, les adaptateurs réseau, les logiciels installés, les lecteurs, les services, les pilotes, les processus, les utilisateurs, les variables d’environnement et les logiciels de sécurité.

Le créateur de processus

L’une des étapes clés est l’utilisation du créateur de processus, un outil qui permet d’exécuter des commandes spécifiques sous forme de nouveaux processus. Le résultat de ces commandes est ensuite fourni au composant Orchestrator. Cette méthode permet aux acteurs malveillants de contrôler efficacement le système infecté, en lançant discrètement diverses actions sur celui-ci.

Les méthodes d’évasion employées par le malware Deadglyph

Outre son ingéniosité en matière de conception modulaire, le malware Deadglyph utilise également des techniques avancées pour se dissimuler dans le système compromis et échapper à la détection. Il emploie principalement une attaque homoglyphique, une technique d’imposture consistant à utiliser des caractères Unicode visuellement similaires (appartenant généralement à différents systèmes d’écriture) pour tromper l’utilisateur ou les mécanismes de sécurité.

En imitant les informations de Microsoft à travers ces caractères, le malware parvient à passer pour un fichier Windows légitime. Afin d’opérer sans être détecté, le malware procède également au chiffrement de ses données sensibles et de sa communication avec le serveur C2. Ceci rend difficile pour les chercheurs en sécurité d’analyser le comportement du logiciel malveillant et de détecter sa présence.

En résumé

Le malware Deadglyph est un exemple impressionnant de la complexité et de l’évolution rapide des menaces informatiques contemporaines. Il illustre parfaitement, les enjeux de la cybersécurité pour les particuliers et les entreprises.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *