Logiciel de Conversion Gratuit – Convertissez N’importe Quel Système de Propre à Infecté en Quelques Secondes
Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les campagnes de malvertising sur des sites légitimes poussent de fausses utilitaires de « convertisseur » qui semblent inoffensifs mais installent en arrière-plan des logiciels malveillants d’accès à distance persistants. Une fois exécuté, l’installateur dépose généralement des composants de porte dérobée dans %LocalAppData% et crée des tâches planifiées qui lancent la charge utile de manière répétée, garantissant que l’attaquant conserve l’accès après les redémarrages. L’opération s’appuie sur un ensemble rotatif de domaines imitant, des binaires signés par un code (mais malveillants), et un flux de travail de commande et de contrôle simple basé sur HTTP. Les défenseurs peuvent donner la priorité à la détection de la création anomale de tâches planifiées, de l’exécution suspecte à partir de chemins accessibles en écriture par l’utilisateur et du trafic sortant vers l’infrastructure C2 identifiée.
Investigation
Les chercheurs ont reconstruit le chemin d’infection à partir des annonces Google malveillantes vers des pages de destination hébergées sur des domaines usurpés tels que pokemoninfinitefusion.net, convertyfileapp.com, et conmateapp.com, qui livrent finalement les charges utiles finales. Les binaires livrés sont des exécutables .NET signés avec des certificats volés, et ils établissent la persistance en créant une tâche planifiée qui exécute UpdateRetriever.exe depuis %LocalAppData%. La télémétrie a montré que le logiciel malveillant contacte périodiquement confetly.com pour récupérer des mises à jour ou des instructions. Les analystes ont également validé les artefacts associés au système de fichiers et à la configuration, y compris un marqueur id.txt et les définitions de tâches planifiées utilisées pour maintenir la porte dérobée active.
Atténuation
Activer et opérationnaliser la journalisation pour la création de tâches planifiées (ID d’événement de sécurité 4698) et la télémétrie de modification du registre (par exemple, Sysmon ID d’événement 13). Réduire le risque d’exécution en bloquant ou en contrôlant strictement les lancements de processus depuis %LocalAppData% à l’aide d’AppLocker ou WDAC, et alerter sur les tâches planifiées pointant vers des répertoires accessibles en écriture par l’utilisateur. Traiter les certificats de signature de code suspects ou nouvellement observés comme étant à haut risque—les révoquer ou les bloquer dans la mesure du possible—et ajouter des contrôles de domaine pour l’infrastructure malveillante connue. Au niveau du réseau, déployer des détections pour l’activité HTTP sortante vers confetly.com et les modèles d’URL associés, et envisager de prévenir le trafic direct vers Internet depuis les postes de travail des utilisateurs lorsque cela est faisable.
Réponse
Lorsqu’une tâche planifiée suspecte est détectée—ou lorsque des exécutables sont observés en cours d’exécution depuis %LocalAppData%—isoler le terminal et préserver les preuves (XML de la tâche, binaires déposés, et journaux proxy/DNS pertinents). Bloquer immédiatement confetly.com et toute infrastructure connexe pour interrompre la commande et le contrôle. Supprimer la tâche planifiée malveillante, éradiquer les artefacts de charge utile, et effectuer une rémédiation complète du terminal pour confirmer qu’aucune persistance secondaire ne subsiste. Enfin, effectuer une chasse à l’échelle de l’entreprise pour les mêmes indicateurs (noms/chemins des tâches, UpdateRetriever.exe, id.txt, et les domaines listés) pour délimiter les systèmes supplémentaires impactés.
« graph TB %% Definitions de classe classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nœuds – Techniques initial_access[« <b>Technique</b> – <b>T1659 Publicité malveillante</b><br/><b>Description</b>: L’attaquant utilise des annonces en ligne malveillantes pour livrer du contenu malveillant aux victimes via l’injection de contenu. »] class initial_access technique user_execution[« <b>Technique</b> – <b>T1204 Exécution par l’utilisateur</b><br/><b>Description</b>: La victime clique manuellement sur l’annonce malveillante et exécute la charge utile téléchargée. »] class user_execution technique dropper[« <b>Technique</b> – <b>T1036.001 Déguisement : Signature de code invalide</b><br/><b>Description</b>: Un exécutable de convertisseur signé est utilisé pour se faire passer pour un outil légitime, subvertissant les contrôles de confiance. »] class dropper technique subvert_trust[« <b>Technique</b> – <b>T1553 Subvertir les contrôles de confiance</b><br/><b>Description</b>: Le binaire signé déjoue les mécanismes de sécurité qui s’appuient sur la confiance de la signature de code. »] class subvert_trust technique powershell[« <b>Technique</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Un script PowerShell est exécuté pour créer une tâche planifiée pour la persistance. »] class powershell technique scheduled_task[« <b>Technique</b> – <b>T1053 Tâche planifiée</b><br/><b>Description</b>: Une tâche planifiée est créée pour exécuter l’exécutable UpdateRetriever à intervalles réguliers. »] class scheduled_task technique persistence[« <b>Technique</b> – <b>T1053 Tâche planifiée (Persistance)</b><br/><b>Description</b>: La tâche planifiée assure l’exécution à long terme de la mise à jour malveillante. »] class persistence technique c2_https[« <b>Technique</b> – <b>T1071.001 Protocoles Web : Web</b><br/><b>Description</b>: Le trafic de commande et de contrôle est envoyé sur HTTPS en utilisant les protocoles web standards. »] class c2_https technique compression[« <b>Technique</b> – <b>T1027.015 Archive via Utility</b><br/><b>Description</b>: Les charges utiles sont stockées à l’intérieur des archives ZIP pour échapper à la détection. »] class compression technique %% Nœud d’opérateur (logique AND) op_and((« AND »)) class op_and operator %% Connexions – Flux initial_access u002du002d>|mène à| user_execution user_execution u002du002d>|livre| dropper dropper u002du002d>|utilise| subvert_trust dropper u002du002d>|stocke les charges utiles dans| compression dropper u002du002d>|exécute| powershell powershell u002du002d>|crée| scheduled_task scheduled_task u002du002d>|permet| persistence persistence u002du002d>|communique avec| c2_https «
Flux d’attaque
Détections
Activité d’évasion possible par utilisation suspecte de Wevtutil (via cmdline)
Voir
Tâche planifiée suspecte (via audit)
Voir
Tâche planifiée via l’objet COM (via powershell)
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 7
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 5
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 6
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 4
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 1
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 3
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 2
Voir
IOCs (HashSha1) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes
Voir
Modification du registre de la tâche planifiée pour la persistance des logiciels malveillants [Événement de registre Windows]
Voir
Détecter la création de tâches planifiées pour la persistance de logiciels malveillants [Journal des événements de sécurité Microsoft Windows]
Voir
Détecter le charge utile malveillant de ConvertMate et la création de fichiers UUID [Événement de fichier Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable de télémétrie et de référence doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’attaquant (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque et commandes :
Un attaquant qui a déjà obtenu un accès au système local souhaite maintenir sa persistance après les redémarrages. Il décide d’exploiter l’arrière-plan du registre du Planificateur de tâches Windows parce qu’il s’agit d’une méthode de « vivre de la terre » qui évite de créer de nouveaux fichiers exécutables. En utilisantreg.exe, il ajoute directement une nouvelle définition de tâche sous lehive de TaskCacheTasks, pointant vers une charge utile malveillante située dans%LocalAppData%. Cette écriture génère un événement Sysmon 13 avec unRegistryPathqui correspond au sélecteur de la règle, provoquant ainsi le déclenchement de l’alerte. -
Script de test de régression :
# ------------------------------------------------------------------------- # Script PowerShell pour simuler T1547.014 / T1574.014 – Persistance de tâche planifiée # ------------------------------------------------------------------------- # Variables $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # e.g. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Assurez-vous que le répertoire de la charge utile existe (simulé) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (Dans une vraie attaque, le binaire malveillant serait déposé ici) # Créer la clé de registre pour la tâche planifiée New-Item -Path $regPath -Force | Out-Null # Y ajouter les valeurs minimales requises (le XML de la tâche serait bien plus grand ; nous le simplifions) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Tâche de registre écrite sur $regPath – la règle de détection devrait se déclencher." -
Commandes de nettoyage :
# Supprimer l'entrée de registre de tâche planifiée malveillante $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Optionnellement, supprimer la charge utile factice Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Nettoyage terminé."