Disséquer CrashFix : Le Nouveau Jouet de KongTuke

graph TB %% Class definitions classDef action fill:#FFEEAA classDef tool fill:#99CCFF classDef malware fill:#FF9999 classDef process fill:#CCFFCC classDef persistence fill:#D9D9D9 classDef operator fill:#FFCC66 content_injection[« <b>Action</b> – <b>T1659 Injection de contenu</b><br/>Une publicité malveillante redirige la victime vers une fausse page du Chrome Web Store proposant une extension malveillante »] class content_injection action software_extension[« <b>Action</b> – <b>T1176 Extensions logicielles</b><br/>Une extension malveillante se faisant passer pour uBlock Origin Lite est installée dans le navigateur »] class software_extension action extension_nexshield[« <b>Outil</b> – <b>Nom</b> : NexShield (extension Chrome malveillante)<br/><b>Description</b> : Fournit la persistance et exécute une logique malveillante supplémentaire »] class extension_nexshield tool user_execution[« <b>Action</b> – <b>T1204.004 Exécution par l’utilisateur</b><br/>L’extension copie une commande PowerShell dans le presse-papiers et la victime l’exécute via Win+R »] class user_execution action powershell_process[« <b>Processus</b> – <b>T1059.001 PowerShell</b><br/>Exécute une commande PowerShell qui télécharge des charges utiles supplémentaires »] class powershell_process process cmd_process[« <b>Processus</b> – <b>T1059.003 Interpréteur de commandes Windows</b><br/>PowerShell invoque cmd.exe pour exécuter des étapes supplémentaires »] class cmd_process process sandbox_evasion[« <b>Action</b> – <b>T1497.002 Évasion de virtualisation/sandbox</b><br/>La charge utile effectue des vérifications approfondies des VM, sandboxes et outils d’analyse »] class sandbox_evasion action dos_exhaustion[« <b>Action</b> – <b>T1499.003 Déni de service du point de terminaison</b><br/>Crée des milliards de ports d’exécution Chrome afin d’épuiser le CPU et la mémoire, provoquant le crash du navigateur »] class dos_exhaustion action event_trigger[« <b>Action</b> – <b>T1546 Exécution déclenchée par événement</b><br/>Utilise l’API Chrome Alarms pour retarder les actions malveillantes de 60 minutes et les répéter toutes les 10 minutes »] class event_trigger action dead_drop[« <b>Action</b> – <b>T1102.001 Résolution Dead Drop via service web</b><br/>Contacte des domaines DGA générés dynamiquement pour récupérer des étapes supplémentaires »] class dead_drop action dga_resolution[« <b>Action</b> – <b>T1568 Résolution dynamique</b><br/>L’algorithme de génération de domaines produit des domaines à rotation hebdomadaire pour le C2 »] class dga_resolution action bidirectional_comm[« <b>Action</b> – <b>T1102.002 Communication bidirectionnelle via service web</b><br/>ModeloRAT échange des commandes et réponses chiffrées via HTTP »] class bidirectional_comm action oneway_comm[« <b>Action</b> – <b>T1102.003 Communication unidirectionnelle via service web</b><br/>Envoie la télémétrie et les données d’installation/mise à jour vers un serveur contrôlé par l’attaquant »] class oneway_comm action encrypted_rc4[« <b>Action</b> – <b>T1573.001 Canal chiffré</b><br/>Le trafic C2 est chiffré à l’aide de la cryptographie symétrique RC4 »] class encrypted_rc4 action obfuscation[« <b>Action</b> – <b>T1027 Fichiers ou informations obfusqués</b><br/>Les charges utiles sont superposées avec des couches de chiffrement Base64, XOR et AES »] class obfuscation action stripped_payload[« <b>Action</b> – <b>T1027.008 Charges utiles épurées</b><br/>Les charges utiles sont épurées et encodées pour échapper à l’analyse »] class stripped_payload action embedded_payload[« <b>Action</b> – <b>T1027.009 Charges utiles intégrées</b><br/>Les charges utiles chiffrées sont chargées directement en mémoire »] class embedded_payload action appcert_dll[« <b>Action</b> – <b>T1546.009 Exécution déclenchée par événement : AppCert DLL</b><br/>La boucle DoS exploite les ports d’exécution Chrome de manière analogue à la technique AppCert DLL »] class appcert_dll action remote_access_tool[« <b>Malware</b> – <b>T1219 Outils d’accès à distance</b><br/>ModeloRAT fournit des capacités complètes d’accès à distance »] class remote_access_tool malware persistence_run[« <b>Action</b> – <b>T1554 Compromission des binaires logiciels de l’hôte</b><br/>L’entrée HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run lance pythonw.exe pour assurer la persistance »] class persistence_run persistence exec_guardrail[« <b>Action</b> – <b>T1480.002 Garde-fous d’exécution</b><br/>Vérifie les exécutions précédentes via des balises UUID afin d’éviter les infections dupliquées »] class exec_guardrail action content_injection –>|leads_to| software_extension software_extension –>|installs| extension_nexshield extension_nexshield –>|provides_persistence| persistence_run extension_nexshield –>|copies_command| user_execution user_execution –>|triggers| powershell_process powershell_process –>|launches| cmd_process powershell_process –>|performs| sandbox_evasion sandbox_evasion –>|allows| powershell_process powershell_process –>|creates| dos_exhaustion dos_exhaustion –>|uses| appcert_dll extension_nexshield –>|sets| event_trigger event_trigger –>|delays| powershell_process powershell_process –>|contacts| dead_drop dead_drop –>|uses| dga_resolution dga_resolution –>|provides| bidirectional_comm bidirectional_comm –>|encrypts_with| encrypted_rc4 bidirectional_comm –>|exchanges_with| remote_access_tool oneway_comm –>|sends_to| encrypted_rc4 powershell_process –>|obfuscates_using| obfuscation obfuscation –>|includes| stripped_payload obfuscation –>|includes| embedded_payload remote_access_tool –>|communicates_via| bidirectional_comm remote_access_tool –>|sends_telemetry| oneway_comm persistence_run –>|creates| exec_guardrail exec_guardrail –>|prevents| persistence_run

Flux d’attaque