Les entreprises de jeux vidéo ciblées avec les logiciels malveillants "Paranoid" PlugX


Les entreprises de l'industrie du jeu vidéo et éventuellement d'autres secteurs ont été ciblées dans les attaques impliquant des variantes améliorées du notoire Cheval de troie d'accès à distance PlugX (RAT).

Palo Alto Networks a repéré plusieurs exemples intéressants de PlugX qui auraient été utilisés par le même acteur de la menace. Alors que la société n'a fourni aucun détail sur l'acteur derrière ces attaques, PlugX a souvent été utilisé par des groupes de menaces liés à la Chine.

Les attaques commencent par un document Word malveillant intitulé «New Salary Structure 2017.doc», qui exploite CVE-2017-0199, une vulnérabilité Office qui a été utilisée par plusieurs acteurs de la menace, y compris ceux liés En Chine et en Iran.

L'exploit télécharge un fichier d'installation de Windows et un script PowerShell qui semble être basé sur une bibliothèque d'exploitation Ruby open source. Les deux fichiers peuvent charger un shellcode conçu pour décompresser la DLL principale de PlugX en mémoire. Le shellcode est chargé uniquement après avoir vérifié la présence d'un environnement virtuel.

Les échantillons PlugX analysés par Palo Alto Networks ont contacté plusieurs URL de Pastebin contenant les adresses des serveurs de commande et de contrôle (C & C). Le contenu est codé par une technique que PlugX a été connue pour être utilisée.

Les chercheurs ont décrit ces exemples de PlugX comme "paranoïaques" en raison du fait que le script de lot responsable de l'exécution du logiciel malveillant tente également de se nettoyer après avoir supprimé tous les fichiers créés pendant l'installation et l'exécution initiale, Les clés de registre et les entrées de clé UserAssist.

"Clarément …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils