Brochure Cybersécurité

Brochcybe N° 001-12-11-2024
Alerte Malware

FakeBat : le chargeur populaire revient

après plusieurs mois d'interruption

TABLE DES MATIÈRES

Contexte..............................................................1 FakeBat : le chargeur populaire revient
après plusieurs mois d'interruption
Interactions sur les forums de cybercriminalité...2

Diffusion de Google Ads.....................................2

Contexte
FakeBat abandonne le voleur de LummaC2.......2
Ces dernières années, les cybercriminels
Conclusion..........................................................3
ont de plus en plus recours à la technique du
Indicateurs de compromis..............................4 téléchargement par téléchargement
intempestif pour diffuser des programmes
malveillants via la navigation Web des
utilisateurs. Cette technique consiste

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
principalement à pirater les moteurs de été menées par des Initial Access Brokers
recherche, à diffuser des publicités (IAB) et ont conduit au déploiement de
malveillantes et à injecter du code dans des ransomwares (BlackCat, Royal).
sites Web compromis pour inciter les
utilisateurs à télécharger de faux programmes
d'installation de logiciels ou de fausses mises Interactions sur les forums de
à jour de navigateur. cybercriminalité

La technique de téléchargement par drive-by Chargeur FakeBat

est couramment utilisée par plusieurs groupes Apparition de FakeBat

d'intrusion pour distribuer des chargeurs (par

Depuis au moins décembre 2022, l'acteur
exemple FakeBat, BatLoader), des botnets
malveillant Eugenfest (alias Payk_34) vend
(par exemple IcedID, PikaBot), des
FakeBat en tant que Loader-as-a-Service sur le
infostealers (par exemple Vidar, Lumma,
forum Exploit.
Redline), des frameworks de post-exploitation
Comme annoncé par son représentant,
(par exemple CobaltStrike, Sliver) et des
FakeBat est un malware de chargement
RAT (par exemple NetSupport), pour n'en
au format MSI qui offre « plusieurs
citer que quelques-uns. D'après nos
fonctionnalités anti-détection, telles que le
observations, certaines de ces attaques ont

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
contournement de la politique des logiciels Le panneau d'administration de FakeBat
indésirables de Google et des alertes Windows contient des informations relatives à l'hôte
Defender et la protection contre Virus Total ». infecté, notamment l'adresse IP, le pays, le
En achetant ce service, les clients de FakeBat système d'exploitation, le navigateur Web, le
ont accès à un panneau d'administration qui logiciel imité et l'état d'installation. Les clients
leur permet de : peuvent également écrire des commentaires
pour chaque bot.
.

 Générer des builds FakeBat ;

 Gérer les charges utiles
distribuées ; Les navigateurs Web, et les moteurs de
 Surveiller les installations liées à recherche en particulier, continuent d'être un
la distribution de la charge utile. point d'entrée populaire pour diffuser des
programmes malveillants aux utilisateurs. Bien

Notamment, le Malware-as-a-Service (MaaS) que nous ayons constaté une diminution des

fournit des modèles de construction pour chargeurs distribués via des publicités

trojaniser des logiciels légitimes, incitant ainsi malveillantes au cours des trois derniers mois,

les victimes potentielles à exécuter FakeBat. l'exemple d'aujourd'hui nous rappelle que les

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
acteurs malveillants peuvent rapidement
revenir à des méthodes éprouvées. Diffusion de Google Ads
La dernière fois que nous avons vu FakeBat,
Après des mois d'absence, Fakebat (AKA
c'était le 25 juillet 2024, via une publicité
Eugenloader, PaykLoader) est réapparu sur
malveillante pour Calendly, une application de
notre radar via une publicité Google
planification en ligne populaire. Dans ce cas,
malveillante pour l'application de productivité
l'infrastructure de commande et de contrôle
Notion. FakeBat est un chargeur unique qui a
de FakeBat fonctionnait depuis utd-
été utilisé pour larguer des charges utiles de
gochisu[.]com.
suivi telles que Lumma Stealer.
Le 8 novembre 2024, une publicité apparaît en
haut d'une recherche Google pour « notion ».
Dans cet article de blog, nous détaillons
Ce résultat sponsorisé semble tout à fait
comment les criminels ciblent leurs
authentique, avec un logo et un site Web
victimes et quelle charge utile de
officiels. Nous savons déjà que les criminels
malware ils diffusent après l'infection
sont capables d'usurper l'identité de n'importe
initiale. L'incident a été découvert et
quelle marque de leur choix en utilisant
signalé à Google le jour même de cette
simplement un outil de suivi des clics (ou un
publication.

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
modèle de suivi) afin de contourner la
détection.

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
Ci-dessous, le trafic réseau depuis l'URL de
l'annonce jusqu'à la charge utile. Nous
pouvons voir l'utilisation du modèle de suivi
(smart.link), suivi d'un domaine de masquage
(solomonegbe[.]com), avant d'atterrir sur le
site leurre (notion[.]ramchhaya.com) :

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
Pourquoi cela fonctionne-t-il et contourne-t-il
Google ? Probablement parce que si
l'utilisateur n'est pas la victime visée, le
modèle de suivi le redirigerait vers le site Web
légitime notion.so.

FakeBat abandonne le voleur de

LummaC2
Après avoir extrait la charge utile, nous Russian Panda, chercheur en sécurité et
reconnaissons la première étape classique de passionné de longue date de FakeBat, a eu la
FakeBat PowerShell : gentillesse de nous donner un coup de main
en examinant cet installateur de plus près.
BRAYANE DORIA MBOUISSOU
INGÉNIEUR CYBERSÉCURITÉ
Après quelques empreintes digitales pour
éviter les sandbox, nous obtenons cette
deuxième étape de PowerShell :

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
Il convient de noter que les acteurs de la
menace utilisent toujours le même ancien
script de contournement AMSI RastaMouse
d'avril 2024 :

La charge utile décryptée est LummaC2 Stealer avec

l'ID utilisateur : 9zXsP2.

Conclusion
Bien que les publicités malveillantes diffusant
des charges utiles de logiciels malveillants
soient devenues un peu plus rares au cours

Le chargeur est obscurci avec .NET Reactor, où il des dernières semaines, l'exemple

décrypte la ressource intégrée avec AES, puis l'injecte d'aujourd'hui montre que les acteurs de la
dans MSBuild.exe via le processus creux :

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
menace peuvent et feront un retour dès que le
moment sera venu.

L'usurpation d'identité de marque via les

publicités Google reste problématique, car
n'importe qui peut exploiter les fonctionnalités
intégrées pour paraître légitime et inciter les
utilisateurs à télécharger des logiciels
malveillants.

Merci à RussianPanda pour son analyse

rapide de la charge utile, ainsi que le
chercheur en sécurité Sqiiblydoo pour
avoir signalé le certificat malveillant
utilisé pour signer le programme
d'installation.

Indicateurs de compromis

BRAYANE DORIA MBOUISSOU

INGÉNIEUR CYBERSÉCURITÉ
BRAYANE DORIA MBOUISSOU
INGÉNIEUR CYBERSÉCURITÉ