Un Faux Site de Trading Installe un Malware qui Pirate les Navigateurs

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Un Faux Site de Trading Installe un Malware qui Pirate les Navigateurs

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Un site Web frauduleux faisant la publicité d’un assistant de trading basé sur l’IA est utilisé pour propager le vol d’informations Needle Stealer. La chaîne d’infection repose sur le détournement de DLL et le creusement de processus pour injecter le malware dans RegAsm.exe, l’aidant à se fondre dans l’activité légitime du système. Une fois actif, le voleur collecte les données du navigateur, cible les informations des portefeuilles de cryptomonnaie et peut déployer des extensions de navigateur malveillantes pour approfondir la compromission. La communication avec l’infrastructure contrôlée par l’attaquant est gérée via plusieurs points de terminaison d’API HTTP.

Enquête

Les chercheurs ont retracé le flux d’infection jusqu’à une archive ZIP téléchargée depuis tradingclaw.pro, qui contenait un chargeur de DLL nommé iviewers.dll. Ce chargeur a installé une DLL de deuxième étape qui a creusé RegAsm.exe et lancé le Needle Stealer basé sur Golang. Une analyse plus poussée a montré que le voleur extrayait des archives ZIP dissimulées contenant des extensions de navigateur malveillantes ainsi qu’un fichier de configuration qui définissait ses serveurs de commande et de contrôle.

Atténuation

Les utilisateurs doivent éviter de télécharger des logiciels à partir de sites Web non fiables et toujours vérifier les signatures des éditeurs avant d’exécuter un installateur. Les équipes de sécurité doivent auditer régulièrement les extensions de navigateur installées et supprimer celles qui semblent non autorisées ou suspectes. La surveillance du réseau doit être configurée pour détecter le trafic vers les noms de domaine et adresses IP malveillants connus liés à la campagne. Les outils de protection des points de terminaison doivent également être ajustés pour identifier le comportement de détournement de DLL et les techniques de creusement de processus.

Réponse

Les défenseurs doivent vérifier la télémétrie des points de terminaison pour l’exécution de iviewers.dll et des signes d’injection dans RegAsm.exe. Les domaines de commande et de contrôle identifiés et les adresses IP doivent être bloqués au niveau du pare-feu ou du proxy. Les équipes de sécurité doivent mettre en quarantaine les fichiers qui correspondent aux hachages ou noms de fichiers signalés, retirer les extensions suspectes de %LOCALAPPDATA%PackagesExtensions, et réinitialiser les identifiants liés aux comptes affectés. Tout portefeuille de cryptomonnaie potentiellement impacté doit également être vérifié pour une activité non autorisée.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["Action – T1659 Content Injection User visits malicious TradingClaw site to obtain malicious content. Description: Adversaries inject malicious content into a legitimate website to deliver payloads."] class step_a action step_b["Action – T1204.001 Malicious Link User clicks and downloads malicious ZIP archive. Description: User is tricked into clicking a malicious link that leads to credentialu2011stealing or other payload download."] class step_b action step_c["Action – Multiple techniques Masquerading T1036.001: iviewers.dll mimics legitimate file. Subvert Trust Controls T1553.002: Bypass trust by hijacking DLL. System Binary Proxy Execution T1218: Use of system binary for execution. Trusted Developer Utilities Proxy Execution T1127: Abuse trusted utilities. Reflective Code Loading T1620: Load code without touching disk. Description: DLL hijacking via iviewers.dll to execute malicious code."] class step_c action step_d["Process Injection – T1055.012 Process Hollowing Malicious code injected into RegAsm.exe process. Description: Adversary creates a hollow process and inserts malicious payload."] class step_d process step_e["Malware – Needle Stealer core Collects victim data after execution."] class step_e malware step_f["Credential Access – T1115 Clipboard Data Collects clipboard contents. Description: Capture data copied to clipboard such as passwords."] class step_f action step_g["Input Capture – T1056 Input Capture Captures typed form inputs. Description: Records keystrokes or form fields to steal credentials."] class step_g action step_h["Credential Access – Multiple techniques Browser Information Discovery T1217: Enumerates installed browsers. Credentials from Web Browsers T1555.003: Extracts saved passwords. Web Session Cookie T1550.004: Reads session cookies. Steal Web Session Cookie T1539: Exfiltrates cookies. Forge Web Credentials T1606: Creates forged credentials. Description: Steals browser data, credentials and cookies."] class step_h action step_i["Persistence – T1176 Software Extensions Installs malicious browser extension. Description: Extension persists in browser and can modify traffic."] class step_i action step_j["Action – Extension manipulates traffic Redirects requests, replaces downloads, injects scripts."] class step_j action step_k["Command and Control – Multiple techniques Data Encoding T1132.001: Encode data before exfiltration. Exfiltration Over C2 Channel T1041: Send data through C2. Description: Communicates stolen data to remote server."] class step_k action %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|collects| step_f step_e –>|collects| step_g step_e –>|collects| step_h step_e –>|installs| step_i step_i –>|enables| step_j step_j –>|communicates| step_k "

Flux d’Attaque

Narratif d’Attaque & Commandes :
Un adversaire ayant obtenu le malware Needle Stealer l’héberge sur le domaine malveillant tradingclaw.pro. L’attaquant persuade une victime d’ouvrir un lien malveillant (par exemple, via un e-mail de phishing). Le navigateur de la victime effectue une requête HTTP GET vers http://tradingclaw.pro/stealer.exe, que le proxy enregistre. Comme l’URL contient la chaîne exacte tradingclaw.pro, la condition de la règle Sigma (url|contains) s’évalue à vrai, générant une alerte.

Pour reproduire cela dans un environnement de test, nous émettons une commande directe curl vers le domaine malveillant. La requête est conçue pour ressembler à un trafic utilisateur typique (User-Agent standard, sans en-têtes spéciaux) de sorte que seul le domaine correspond drive l’alerte.

Script de Test de Régression :

#!/usr/bin/env bash
# ------------------------------------------------------------
# Simulate malicious access to trigger the "Malicious TradingClaw"
# detection rule.
# ------------------------------------------------------------

set -euo pipefail

# Define the malicious URLs (exact strings used by the rule)
MALICIOUS_URLS=(
    "http://tradingclaw.pro/stealer.exe"
    "https://studypages.com/download/needle.exe"
)

for url in "${MALICIOUS_URLS[@]}"; do
    echo "[*] Requesting ${url}"
    # Use a realistic user‑agent to mimic a browser
    curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" 
         -s -o /dev/null "${url}"
done

echo "[+] Simulation completed."

Commandes de Nettoyage :

# No persistent artifacts are created by the curl requests.
# Flush DNS cache to avoid accidental reuse of the domain in later tests.
if command -v ipconfig >/dev/null 2>&1; then
    ipconfig /flushdns
elif command -v systemd-resolve >/dev/null 2>&1; then
    systemd-resolve --flush-caches
fi
echo "[+] Cleanup completed."

Fin du Rapport

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement