La campagne de malware SquidLoader frappe des sociétés financières de Hong Kong

Le centre de recherche avancée Trellix a mis au jour une nouvelle vague de malware SquidLoader hautement sophistiqué ciblant activement les institutions financières de Hong Kong . Cette découverte, détaillée dans l'analyse technique de Trellix , partagée avec Hackread.com, met en évidence une menace importante en raison du taux de détection quasi nul du malware sur VirusTotal au moment de l'analyse. Les preuves suggèrent également une campagne plus vaste, des échantillons similaires ayant été observés ciblant des entités à Singapour et en Australie.

L'attaque commence par des e-mails de spear-phishing rédigés en mandarin, conçus avec précision pour usurper l'identité d'institutions financières. Ces e-mails contiennent une archive RAR protégée par mot de passe contenant un exécutable malveillant. Le corps de l'e-mail est crucial pour la tromperie, car il fournit le mot de passe de la pièce jointe. L'objet se présente souvent comme « Formulaire d'inscription pour les investisseurs Bond Connect gérant des opérations de change via des banques étrangères ».

L'e-mail prétend provenir d'un représentant financier et demande au destinataire de vérifier et de confirmer la copie numérisée du formulaire d'inscription au marché des changes Bond Connect. Ce fichier est astucieusement déguisé : non seulement il imite l'icône d'un document Microsoft Word, mais il adopte également les propriétés d'un fichier AMDRSServ.exe légitime pour contourner l'examen initial.

Lors de son exécution, SquidLoader déclenche une infection complexe en cinq étapes. Il décompresse d'abord sa charge utile principale, puis établit un contact avec un serveur de commande et de contrôle ( C2 ) via un chemin d'URL imitant les services Kubernetes légitimes (par exemple, /api/v1/namespaces/kube-system/services ) pour se fondre dans le trafic réseau normal.

Cette communication C2 initiale transmet des informations critiques sur l'hôte, notamment l'adresse IP, le nom d'utilisateur, le nom de l'ordinateur et la version de Windows, à ses opérateurs. Enfin, le logiciel malveillant télécharge et exécute une balise Cobalt Strike, qui établit ensuite une connexion à un serveur C2 secondaire à une adresse différente (par exemple, 182.92.239.24 ), offrant ainsi aux attaquants un accès distant permanent.

L'une des principales raisons du danger de SquidLoader réside dans son large éventail de techniques anti-analyse, anti-sandbox et anti-débogage. Celles-ci incluent la vérification d'outils d'analyse spécifiques comme IDA Pro ( ida.exe ) ou Windbg ( windbg.exe ) et des noms d'utilisateur sandbox courants.

Il utilise notamment une astuce sophistiquée de threading impliquant de longues durées de veille et des appels de procédure asynchrones (APC) pour détecter et contourner les environnements émulés. S'il détecte une tentative d'analyse, le malware s'auto-détruit. Après vérification, il affiche un message contextuel trompeur en mandarin : « Le fichier est corrompu et ne peut pas être ouvert », nécessitant une intervention de l'utilisateur qui peut déjouer les sandbox automatisés.

« Ses techniques complexes d’anti-analyse, d’anti-bac à sable et d’anti-débogage, associées à ses taux de détection faibles, constituent une menace importante pour les organisations ciblées », ont souligné les chercheurs de Trellix dans leur rapport .

Le ciblage observé dans plusieurs pays met en évidence la nature mondiale de cette menace en constante évolution, incitant les institutions financières du monde entier, en particulier à Hong Kong, à Singapour et en Australie, à renforcer leur sécurité contre ces adversaires très évasifs.