Une nouvelle porte dérobée du groupe IRON a été découverte

Une porte dérobée basée sur le code source de Remote Control System a été découverte récemment. Ce malware est créé et utilisé par le groupe IRON, connu pour le rançongiciel IRON qui était actif pendant environ 18 mois. Cette nouvelle porte dérobée dispose d'un installateur protégé avec VMProtect (utilitaire de protection de logiciels) et compressé en utilisant UPX (un outil open-source pour la compression des exécutables).

Pendant l'installation, le malware accomplit les taches suivantes :

  1. Il vérifie s'il s'exécute dans une machine virtuelle,
  2. Il charge et installe une extension Chrome malveillante se déguisant en une version retouchée d'Adblock Plus. Cette extension injecte dans le navigateur un module de minage de cryptomonnaie (basé sur CryptoNoter) et un module de piratage qui redirige les pages de paiements légitimes vers des pages frauduleuses,
  3. Il crée une tâche planifiée pour exécuter %localappdata%\Temp\chrome\sec.vbs,
  4. Il crée un mutex pour s'assurer qu'une seule instance de lui-même est en cours d'exécution,
  5. Il charge la porte dérobée dans le dossier Temp,
  6. Puis il vérifie la version du système d'exploitation et lance la porte dérobée adoptée en fonction de la version détectée.

Si Qhioo360 Safe Guard ou Internet Security se trouvent sur le système, le logiciel malveillant s'exécute une fois et sans persistance. Dans le cas contraire, il installe le certificat racine d'une autorité de certification codé en dur pour que le binaire de la porte dérobée semble légitime.

Le logiciel malveillant déchiffre un shellcode qui charge la balise Cobalt Strike en mémoire et récupère une URL de charge utile à partir d'une adresse Pastebin codée en dur. 

Deux charges utiles différentes ont été chargées par le malware, à savoir Xagent, une variante de "JbossMiner Mining Worm", et plus récemment Iron ransomware.