Logiciel de Conversion Gratuit – Convertissez N’importe Quel Système de Propre à Infecté en Quelques Secondes
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les campagnes de malvertising sur des sites légitimes poussent de fausses utilitaires de « convertisseur » qui semblent inoffensifs mais installent en arrière-plan des logiciels malveillants d’accès à distance persistants. Une fois exécuté, l’installateur dépose généralement des composants de porte dérobée dans %LocalAppData% et crée des tâches planifiées qui lancent la charge utile de manière répétée, garantissant que l’attaquant conserve l’accès après les redémarrages. L’opération s’appuie sur un ensemble rotatif de domaines imitant, des binaires signés par un code (mais malveillants), et un flux de travail de commande et de contrôle simple basé sur HTTP. Les défenseurs peuvent donner la priorité à la détection de la création anomale de tâches planifiées, de l’exécution suspecte à partir de chemins accessibles en écriture par l’utilisateur et du trafic sortant vers l’infrastructure C2 identifiée.
Investigation
Les chercheurs ont reconstruit le chemin d’infection à partir des annonces Google malveillantes vers des pages de destination hébergées sur des domaines usurpés tels que pokemoninfinitefusion.net, convertyfileapp.com, et conmateapp.com, qui livrent finalement les charges utiles finales. Les binaires livrés sont des exécutables .NET signés avec des certificats volés, et ils établissent la persistance en créant une tâche planifiée qui exécute UpdateRetriever.exe depuis %LocalAppData%. La télémétrie a montré que le logiciel malveillant contacte périodiquement confetly.com pour récupérer des mises à jour ou des instructions. Les analystes ont également validé les artefacts associés au système de fichiers et à la configuration, y compris un marqueur id.txt et les définitions de tâches planifiées utilisées pour maintenir la porte dérobée active.
Atténuation
Activer et opérationnaliser la journalisation pour la création de tâches planifiées (ID d’événement de sécurité 4698) et la télémétrie de modification du registre (par exemple, Sysmon ID d’événement 13). Réduire le risque d’exécution en bloquant ou en contrôlant strictement les lancements de processus depuis %LocalAppData% à l’aide d’AppLocker ou WDAC, et alerter sur les tâches planifiées pointant vers des répertoires accessibles en écriture par l’utilisateur. Traiter les certificats de signature de code suspects ou nouvellement observés comme étant à haut risque—les révoquer ou les bloquer dans la mesure du possible—et ajouter des contrôles de domaine pour l’infrastructure malveillante connue. Au niveau du réseau, déployer des détections pour l’activité HTTP sortante vers confetly.com et les modèles d’URL associés, et envisager de prévenir le trafic direct vers Internet depuis les postes de travail des utilisateurs lorsque cela est faisable.
Réponse
Lorsqu’une tâche planifiée suspecte est détectée—ou lorsque des exécutables sont observés en cours d’exécution depuis %LocalAppData%—isoler le terminal et préserver les preuves (XML de la tâche, binaires déposés, et journaux proxy/DNS pertinents). Bloquer immédiatement confetly.com et toute infrastructure connexe pour interrompre la commande et le contrôle. Supprimer la tâche planifiée malveillante, éradiquer les artefacts de charge utile, et effectuer une rémédiation complète du terminal pour confirmer qu’aucune persistance secondaire ne subsiste. Enfin, effectuer une chasse à l’échelle de l’entreprise pour les mêmes indicateurs (noms/chemins des tâches, UpdateRetriever.exe, id.txt, et les domaines listés) pour délimiter les systèmes supplémentaires impactés.
Flux d’attaque
Détections
Activité d’évasion possible par utilisation suspecte de Wevtutil (via cmdline)
Voir
Tâche planifiée suspecte (via audit)
Voir
Tâche planifiée via l’objet COM (via powershell)
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 7
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 5
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 6
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 4
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 1
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 3
Voir
IOCs (HashSha256) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes Partie 2
Voir
IOCs (HashSha1) à détecter : Logiciel de conversion gratuit – Convertir tout système propre en infecté en secondes
Voir
Modification du registre de la tâche planifiée pour la persistance des logiciels malveillants [Événement de registre Windows]
Voir
Détecter la création de tâches planifiées pour la persistance de logiciels malveillants [Journal des événements de sécurité Microsoft Windows]
Voir
Détecter le charge utile malveillant de ConvertMate et la création de fichiers UUID [Événement de fichier Windows]
Voir
Exécution de simulation
Prérequis : La vérification préalable de télémétrie et de référence doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’attaquant (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narratif d’attaque et commandes :
Un attaquant qui a déjà obtenu un accès au système local souhaite maintenir sa persistance après les redémarrages. Il décide d’exploiter l’arrière-plan du registre du Planificateur de tâches Windows parce qu’il s’agit d’une méthode de « vivre de la terre » qui évite de créer de nouveaux fichiers exécutables. En utilisantreg.exe, il ajoute directement une nouvelle définition de tâche sous lehive de TaskCacheTasks, pointant vers une charge utile malveillante située dans%LocalAppData%. Cette écriture génère un événement Sysmon 13 avec unRegistryPathqui correspond au sélecteur de la règle, provoquant ainsi le déclenchement de l’alerte. -
Script de test de régression :
# ------------------------------------------------------------------------- # Script PowerShell pour simuler T1547.014 / T1574.014 – Persistance de tâche planifiée # ------------------------------------------------------------------------- # Variables $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # e.g. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Assurez-vous que le répertoire de la charge utile existe (simulé) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (Dans une vraie attaque, le binaire malveillant serait déposé ici) # Créer la clé de registre pour la tâche planifiée New-Item -Path $regPath -Force | Out-Null # Y ajouter les valeurs minimales requises (le XML de la tâche serait bien plus grand ; nous le simplifions) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Tâche de registre écrite sur $regPath – la règle de détection devrait se déclencher." -
Commandes de nettoyage :
# Supprimer l'entrée de registre de tâche planifiée malveillante $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Optionnellement, supprimer la charge utile factice Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Nettoyage terminé."