Nouvelle famille de logiciels malveillants JavaSquid

De telles techniques de compromission initiale indiquent que les acteurs de la menace à l'origine de la campagne recherchent des infections opportunistes et agissent donc probablement avec une motivation financière, potentiellement en tant qu'IAB (Initial Access Broker, courtier d'accès initial). D'après la localisation des échantillons soumis, il est très probable que la cible de la campagne soit principalement l'Europe. 

Le domaine "watering hole" utilisé pour tromper les victimes et diffuser les logiciels malveillants est protégé par Cloudflare. Cependant, l'échantillon de logiciel malveillant contactera un domaine différent qui se résout en une adresse IP qui est également pointée par de nombreux autres domaines. Un grand nombre de domaines différents pointant vers la même adresse IP semblent également être liés au leurre de la technologie de l'IA et à l'usurpation de l'identité d'autres entreprises.  

Il est intéressant de noter que nos recherches OSINT ont indiqué que l'adresse IP C2 était précédemment liée aux voleurs Lumma et Poseidon. Alors que le voleur Lumma était apparemment basé sur l'ancien voleur Mars, Poseidon est une famille de logiciels malveillants découverte très récemment et écrite en AppleScript, ciblant donc les environnements iOS. Le fait que cette nouvelle famille soit écrite en JavaScript pourrait indiquer que l'acteur de la menace à l'origine de l'activité pourrait passer à un langage de script qui pourrait être utilisé dans différents environnements. Un autre aspect à souligner est le fait que l'adresse IP appartient à un FAI chinois (Chang Way Technologies Co. Limited) alors que l'hôte est géolocalisé dans la Fédération de Russie. 

L'échantillon initial du logiciel malveillant avait une signature numérique valide au moment où nous l'avons analysé pour la première fois (9 novembre 2024), émise par une société chinoise "Taigu Fulong Electronic Tech Co., Ltd". Cependant, nous avons observé que, pendant notre enquête, cette signature avait déjà été révoquée. 

En recherchant des échantillons similaires à l'aide de notre moteur de rechercheSandbox , nous avons trouvé un ensemble d'échantillons de la même famille utilisant le même certificat numérique probablement volé, mais aussi deux nouveaux ensembles d'échantillons. L'un de ces ensembles ne comportait pas de signature numérique, tandis que l'autre utilisait un certificat numérique différent. Tous les échantillons suivaient les mêmes modèles et techniques consistant à prétendre être un outil utilitaire légitime en se basant sur leurs différents noms (ai_Generation.exe, sweethome3d.exe, Installer_capcut_pro_x64.exe...). 

Le PE est un logiciel malveillant JavaScript compilé, qui utilise l'outil pkg pour transformer le code JavaScript en un PE Windows. Le JavaScript compilé semble être en augmentation dans le paysage des menaces, comme l'ont récemment signalé d'autres chercheurs. L'outil mentionné intègre une charge utile JavaScript dans un PE Windows en incorporant un interpréteur Node JS/V8 avec la possibilité de compiler le code en bytecode V8, incorporant ainsi dans le PE soit le code en clair, soit un bytecode compilé JavaScript. L'extraction de la version en clair est triviale dans la plupart des cas, mais Metadefender Sandbox peut extraire le code compilé sous forme de JSC (JavaScript Compiled file) et le désassembler en vue d'une analyse ultérieure. 

La charge utile JavaScript contient la charge utile pertinente codée en base64, la décode et l'exécute à l'aide de la fonction eval. Cette charge utile décodée commence par effectuer une vérification rapide de la taille de la mémoire vive, probablement pour éviter de l'exécuter dans des environnements d'analyse. Alors que de nombreux bacs à sable traditionnels ne passeraient pas cette vérification, Metadefender Sandbox effectue une analyse plus approfondie de l'ensemble du code JavaScript, ce qui permet de déclencher des indicateurs pertinents. 

Lorsque la vérification est réussie, l'exemple exécute une requête HTTP vers l'URL d'un événement du calendrier Google, qui stocke dans sa description une seconde URL au format base64. 

L'URL décodée pointe vers un domaine contrôlé par l'attaquant, qui envoie une nouvelle charge utile base64 après la requête correspondante. Lors du décodage de la nouvelle charge utile JavaScript, celle-ci est également exécutée immédiatement à l'aide de la fonction eval. Ce code JavaScript supplémentaire décrypte et exécute une couche supplémentaire de charge utile codée en dur à l'aide d'un chiffrement AES.  

Il est intéressant de noter que les clés IV et AES sont obtenues à partir des en-têtes de réponse de la dernière requête HTTP, dont nous avons observé qu'ils sont différents à chaque requête, ce qui signifie que la charge utile et les en-têtes servis sont créés dynamiquement à chaque requête vers le C2 pour être déchiffrés avec des clés différentes. En outre, la charge utile décryptée semble toujours être la même, mais avec un obscurcissement différent, ce qui révèle que non seulement le cryptage mais aussi l'obscurcissement se produisent dynamiquement à chaque demande. Cette technique pourrait non seulement entraver l'analyse médico-légale en cas d'incident ou la recherche sur les menaces, mais aussi échapper aux détections basées sur les signatures puisque l'obscurcissement est différent à chaque demande. 

Ce nouveau module décrypté est fortement obfusqué et apporte de nombreuses fonctionnalités supplémentaires à l'échantillon en ajoutant le code de bibliothèques supplémentaires, principalement pour traiter les opérations de fichiers et les fonctionnalités de zip à l'aide du module adm. En outre, il dépose différents fichiers dans différents sous-répertoires %appdata%\Local, en utilisant un nommage aléatoire. 

L'un des fichiers déposés est un script PowerShell nommé run.ps1, qui contient le code permettant d'installer le programme d'installation MSI de NodeJS afin de lancer ultérieurement la charge utile JavaScript finale à l'aide de NodeJS installé, au lieu de la charge utile JavaScript compilée initiale. 

À ce stade, l'exécution déclenche un message d'erreur pour l'utilisateur sous la forme d'une fenêtre contextuelle, susceptible d'amener la victime à penser que le "logiciel d'IA" attendu (ProAI.exe) ne peut pas fonctionner sur son système, détournant ainsi son attention de l'infection JavaSquid en cours. Cette dernière charge utile JavaScript téléchargera également un dernier fichier JavaScript en utilisant le même mécanisme de contact avec les calendriers de Google, puis en contactant leur domaine contrôlé à l'aide des en-têtes de réponse HTTP pour décrypter la charge utile finalement servie. Cette fois, la charge utile finale sera enregistrée sous le nom d'index.js dans un répertoire au nom aléatoire situé dans le répertoire %appdata%/Romaing. 

Le fichier run.ps1 précédent sera ensuite remplacé par un autre script PowerShell portant le même nom et immédiatement exécuté. Comme le montre la capture d'écran, ce script sert uniquement à obtenir une persistance sur la machine, alors que le code principal du programme malveillant a été écrit dans index.js. 

Fichiers supplémentaires déposés par le logiciel malveillant : 

• VeqVMR.zip (nom généré aléatoirement) : Téléchargé depuis le même C2. Il ne contient qu'un programme d'installation de notepad (npp.8.6.6.Installer.exe) apparemment sans impact sur le comportement général. 
• bypass.ps1 : utilisé pour exécuter le fichier run.ps1 mentionné précédemment, tout en contournant la restriction d'exécution des scripts powershell. 
• NiOihmgUci.msi (nom généré aléatoirement) : programme d'installation de nodejs, récupéré sur son site officiel. 
• Update.lnk : Déposé dans le dossier de démarrage, il pointe vers le script PowerShell run.ps1.