Dernières nouvelles

Restez au courant de tout ce qui se passe à Approach

Blog article

Kekw devient bananier

Date de publication

08.06.2023

image
Une nouvelle souche de logiciels malveillants émerge, change de nom et évolue. Découvrez comment les cybercriminels tirent parti de GitHub et des crypto-monnaies pour alimenter leurs opérations !

Un nouveau guerrier est entré dans l’arène

La semaine dernière, j’ai publié mon blog« Kekw continue d’évoluer » qui explique comment le logiciel malveillant Kekw se propage via des outils trojanisés sur GitHub où un paquetage PyPi malveillant est téléchargé et exécuté pour voler toutes sortes d’informations à l’utilisateur qui exécute l’outil.

Alors que je travaillais sur ce blog, j’ai remarqué le 28 mai qu’un autre compte GitHub (Sammy3003) avait téléchargé plusieurs nouveaux dépôts identiques à ceux analysés précédemment.

Le compte a été créé le 13 mars 2021 sans aucune activité jusqu’en janvier 2023, date à laquelle deux dépôts non malveillants ont été créés. L’un d’eux contenait plusieurs fichiers modèles identiques pour un CV, l’autre contenait le fichier de configuration GitHub du compte.

En l’absence d’activité supplémentaire jusqu’à la fin du mois de mai, ce compte GitHub a probablement été compromis et est maintenant utilisé à des fins malveillantes.

L’acteur de la menace télécharge 5 référentiels :

-Tron-Sweeper

-Twitter-Follow-Bot

-Telegram-Mass-DM

-Le guide du portefeuille de bitcoins

-Disques d’or – Mass-DM

À l’exception de « Tron-Sweeper », les autres dépôts étaient également présents dans les comptes GitHub analysés dans mon blog précédent.

La commande de téléchargement d’un code malveillant supplémentaire est cachée en la déplaçant hors de vue, du moins lorsque le texte n’est pas enveloppé.

Le rectangle vert ne montre que les importations légitimes (gardez-le à l’esprit pour la suite).

-Le rectangle rouge montre la totalité de la barre de défilement horizontale.

-Le rectangle bleu montre que la boîte de défilement est très petite par rapport à la barre de défilement.

Quelle est la raison pour laquelle la boîte de défilement est si petite ?

En parcourant le code, il n’y a rien qui puisse expliquer ce comportement comme une très longue commande encodée en base64 ou un code crypté avec du Fernet comme je l’ai vu dans mon blog précédent.

En passant en mode code « brut », il n’est pas nécessaire de faire défiler le code sans fin, car le code malveillant qui télécharge une deuxième étape devient immédiatement visible.

Comparez le code qui se trouve dans le rectangle vert de la capture d’écran ci-dessus avec le code qui s’affiche en mode brut.

C’était plutôt facile ! Il semble que le script Python télécharge et exécute un script récupéré à partir de hxxps://bananasquad[.]ru/paste.

En analysant le site web avec VirusTotal le 28 mai, nous obtenons un résultat vierge.

Le vendredi 2 juin, l’URL est déjà considérée comme malveillante par sept fournisseurs.

En recherchant des informations sur le domaine, nous constatons que bananasquad[.]ru a été enregistré il y a seulement quelques semaines. Pour être précis, deux semaines avant que les dépôts ne soient téléchargés sur le compte GitHub de Sammy3003.

Comparons les enregistrements whois de kekwltd[.]ru et de bananasquad[.]ru.

Le domaine kekwltd[.]ru a été utilisé dans les échantillons de logiciels malveillants analysés dans le blog précédent et explique comment le logiciel malveillant a reçu son nom.

Le nouveau domaine bananasquad[.]ru est utilisé dans cet exemple de logiciel malveillant et a inspiré le titre de ce blog.

Enregistrement de whois pour kekwltd.ru
Enregistrement de whois pour bananasquad.ru

Les deux domaines sont enregistrés par une « personne privée », utilisent Cloudflare comme serveur de noms et sont tous deux enregistrés auprès du même bureau d’enregistrement. R01-RU est le premier bureau d’enregistrement accrédité pour le domaine national RU, selon son propre site web, et il prétend être l’un des leaders dans les domaines .RU, .SU et .РФ.

Voyons qui vous êtes vraiment

En utilisant urlscan.io, il est possible de récupérer le script à partir de l’URL de bananasquad. À première vue, il ressemble beaucoup à ce que nous avons déjà vu dans le blog « Kekw keeps evolving ». Si vous n’avez pas lu ce blog, lisez-le pour vous assurer que vous savez de quoi il s’agit.

Après un examen un peu plus approfondi, nous pouvons voir que le code correspond en grande partie à la dernière version du paquet PyPi syssqlitedbpackageV1. Cependant, les 16 dernières lignes du code de syssqlitedbpackageV1 ne sont plus présentes.

Côté gauche : syssqlitedbpackageV1

Côté droit : bananasquad[.]ru/paste

La commande cryptée Fernet fait également son retour dans cette nouvelle version. En raison de la longueur de la commande, elle a été omise dans la comparaison des codes ci-dessus.

Voyons ce que nous pouvons trouver en décryptant la commande Fernet.

Une fois encore, le script que nous obtenons après le décryptage est en grande partie le même. Il contient uniquement des modifications pour refléter le nouveau domaine ainsi que de nouvelles adresses cryptographiques pour la fonctionnalité de remplacement cryptographique.

Modifications du code pour le nouveau domaine et suppression d’autres références à kekw dans le code :

Modifications des adresses cryptographiques utilisées pour remplacer toutes les adresses cryptographiques copiées par la victime :

L’auteur de la menace est même trop paresseux pour modifier le numéro de version :

Le compte Sammy3003 est supprimé par GitHub dans les 72 heures suivant le téléchargement des dépôts malveillants.

Suivez l’argent

Lorsque l’on analyse les adresses cryptographiques pour voir si de l’argent y entre ou en sort, il n’y a que quelques transactions pour les adresses Bitcoin et Ethereum. Dernière vérification : 2 juin 2023.

Pas de transactions sur Monero, Cardano ou Dash.

Bitcoin (bc1qlxay4saq3tjv79yqc6devlty6jfgjnalgmhu2a)

-0,8058667 BTC est reçu le 17 mai

-0.02486524 est envoyé le 17 mai

-0,02491276BTC est envoyé le 17 mai

-0,03009624BTC est envoyé le 17 mai

-0,00071243BTC est envoyé le 29 mai

La transaction du 29 mai sort du lot, même s’il s’agit du plus petit montant. En suivant cette transaction, après plusieurs sauts, l’argent est envoyé à l’adresse Bitcoin 37jAAWEdJ9D9mXybRobcveioxSkt7Lkwog. Grâce à OSINT, nous pouvons identifier que ce portefeuille appartient à l’échange de crypto-monnaie ChangeNow.io.

Ethereum (0x69b2bba5dc9d0f68ce0ae98395f72cefad7e543a)

-1,23ETH est reçu le 20 mai

-1,23ETH est envoyé le 29 mai

Une fois de plus, nous voyons une transaction sortante le 29 mai. Suivons la transaction jusqu’au portefeuille auquel elle est envoyée (0x69b2bba5dc9d0f68ce0ae98395f72cefad7e543a). 5 minutes après que l’argent ait été transféré, il est à nouveau envoyé à un autre portefeuille. Cette fois, il va à 0x077d360f11d220e4d5d831430c81c26c9be7c4a4. Ce portefeuille contient beaucoup d’argent et a effectué de nombreuses transactions au cours de son existence. En utilisant OSINT, nous pouvons à nouveau relier ce portefeuille au même échange de crypto-monnaie (ChangeNow.io) que pour le flux d’argent Bitcoin.

Il semble que l’auteur de la menace utilise cette bourse pour récupérer les devises volées.

Conclusion

Comme ce compte GitHub et ce malware rebaptisé ont eu une durée de vie très courte et sont moins nombreux que les comptes et dépôts GitHub, le montant volé en crypto-monnaie est également bien inférieur à celui de la variante Kekw.

Sur la base de l’analyse effectuée dans ce blog, je soupçonne qu’il s’agit du même acteur de menace et non d’un acteur de menace différent utilisant le même logiciel malveillant acheté auprès d’un fournisseur de logiciels malveillants en tant que service.

Abonnez-vous à la lettre d’information du SOC

AUTRES HISTOIRES

La mascarade des logiciels malveillants : l’art de l’accès initial et les techniques d’évasion

Les cybercriminels ne cessent d’évoluer. Découvrez les dernières astuces de diffusion de logiciels malveillants, les tactiques d’évasion et les chaînes d’attaque réelles pour garder une longueur d’avance en matière de cybersécurité.

Relever les défis du DNS sur HTTPS (DoH) dans le cadre de la sécurité d’entreprise

Le DNS sur HTTPS (DoH) renforce la confidentialité mais ouvre de nouveaux risques de sécurité. Découvrez comment les cybercriminels l’exploitent et comment les entreprises peuvent rester protégées.

Plongez dans l’attaque Terrapin – Connaissez vos vulnérabilités SSH et défendez-vous comme un pro !

La sécurité SSH est menacée par l’attaque Terrapin. Découvrez comment elle exploite les vulnérabilités, affaiblit le chiffrement et quelles sont les mesures à prendre pour rester protégé.

Contactez-nous pour en savoir plus sur nos services et solutions

Notre équipe vous aidera à entamer votre voyage vers la cyber-sérénité

Préférez-vous nous envoyer un courriel ?

info@approach-cyber.com

Facebook-f Linkedin-in Youtube

Nos certifications et labels

Facebook-f Linkedin-in Youtube
Facebook-f Linkedin-in Youtube