Le malware modulaire est fabriqué sur mesure pour les ransomwares car il dispose de plugins dédiés pour le vol, le chiffrement et la persistance.
Les opérateurs de ransomwares utilisent désormais activement un malware modulaire, Skitnet, vendu sur des forums souterrains, y compris la rampe depuis avril 2024.
Selon l’entreprise de cybersécurité Prodaft, les logiciels malveillants en plusieurs étapes sont utilisés pour voler des données sensibles après la composition et l’établissement d’un accès à distance continu.
« Skitnet (AKA Bossnet) est un logiciel malveillant en plusieurs étapes développé par Larva-306 qui exploite plusieurs langages de programmation et techniques furtives pour exécuter sa charge utile et maintenir un accès persistant aux systèmes infectés », ont déclaré des chercheurs de Prodaft dans un rapport.
Identifiée pour la première fois en 2024, le malware a récemment été exploité par Blackbasta dans les attaques de phishing sur le thème des équipes de Microsoft, a déclaré Prodaft dans un article LinkedIn.
Plugins dédiés pour le vol et le ransomware
Skitnet fonctionne avec une conception modulaire où un chargeur de base, décodé et exécuté avec un compte-gouttes PowerShell léger, récupére et exécute dynamiquement des plugins en fonction de l’objectif de l’attaquant.
Les modules souhaités sont récupérés à partir de serveurs de commande et de contrôle (C2) codés en dur (C2), en utilisant des demandes de post HTTP et des charges utiles cryptées AES. Les composants de charge utile incluent Skitnel.dll, qui gère l’exécution en mémoire et un mécanisme de persistance.
Selon les chercheurs, les logiciels malveillants comprennent des plugins séparés pour la récolte d’identification, l’escalade des privilèges, le mouvement latéral et la livraison de ransomwares.
Les logiciels malveillants utilisent une obscurcissement avancé
Selon une description de Prodate, Skitnet utilise des langages de programmation Rust et NIM pour exécuter un shell inverse furtif sur DNS, qui est une méthode de communication C2 secrète en utilisant le protocole DNS au lieu de HTTP ou d’autres canaux typiques.
De plus, le malware exploite le chiffrement, la cartographie manuelle et la résolution d’API dynamique pour échapper à la détection, ont ajouté des chercheurs.
« L’auteur (du malware) vend à la fois le code du serveur et le malware lui-même », a ajouté des chercheurs. « Le serveur essuie automatiquement les journaux de connexion SSH, les adresses IP, les journaux d’historique des commandes et le cache, pour éviter de laisser les traces qui pourraient être utilisées dans l’enquête médico-légale. »
Commandes supplémentaires pour l’accès à distance
Skitnet propose également des commandes pour installer et lancer tranquillement des versions signées d’outils de bureau à distance comme AnyDesk ou Rut, permettant aux attaquants d’obtenir un accès à distance aux systèmes infectés.
« L’inclusion des capacités d’accès à distance via AnyDesk et Rut-Serv, ainsi que les commandes d’exfiltration de données et de dénombrement de produits de sécurité, met en évidence la polyvalence du malware », a déclaré les chercheurs. « Les mécanismes de persistance de Skitnet, y compris le détournement de DLL et l’exécution basée sur PowerShell, garantissent qu’il reste actif sur les systèmes compromis. »
Prodaft a publié des indicateurs de compromis (CIO) pour les équipes de sécurité, qui comprend une liste des serveurs C2, des adresses TOX et des hachages de fichiers utilisés dans les attaques observées. Il est conseillé aux organisations d’améliorer les mesures de cybersécurité, y compris la formation des employés sur la sensibilisation au phishing et la mise en œuvre de protocoles de sécurité robustes, afin d’atténuer les risques associés au skitnet.
