OnyxC2 : un nouveau malware-as-a-service aux capacités de vol de données avancées
Un nouveau service de malware-as-a-service (MaaS) appelé OnyxC2 fait parler de lui dans le milieu de la cybercriminalité, en proposant un voleur d'informations abouti doté d'un ensemble de techniques d'évasion avancées et de capacités d'accès à distance. Le service, apparu sur les forums cybercriminels cette année, est vendu sur abonnement, avec des prix allant de 250 $ à 6 000 $ selon les fonctionnalités et le niveau de support.
Une menace furtive et sophistiquée
OnyxC2 cible plus de 210 applications, y compris 37 navigateurs Chromium et 8 navigateurs Gecko, 95 extensions Chromium et 14 extensions Gecko, 17 portefeuilles cryptomonnaies et divers outils professionnels critiques comme des clients FTP et des clients e-mail. Le malware recourt au chargement latéral de DLL (sideloading), aux charges utiles chiffrées et à diverses tactiques d'évasion pour échapper à la détection. Ses développeurs offrent même des remises si une version est détectée, soulignant leur confiance dans ses capacités de furtivité.
Une boîte à outils qui dépasse le simple vol de données
Le module d'accès à distance inclus avec OnyxC2 va bien au-delà du simple vol de données. Il comprend des fonctionnalités comme le bureau virtuel caché (HVNC) via un navigateur web, le vidage de la mémoire LSASS, l'exécution RunPE (en mémoire et sur disque), un proxy SOCKS5 inverse, la capture d'écran, un enregistreur de frappe, un gestionnaire de fichiers, un shell inversé via HTTP, un Tor intégré et des téléchargements de fichiers chiffrés en AES-256. Certaines de ces fonctionnalités ne sont pas mentionnées dans les annonces de vente publiques des développeurs, ce qui suggère qu'ils les développent activement en coulisses.
Le mode de diffusion mérite une attention particulière. OnyxC2 utilise une application légitime dotée d'une signature Authenticode valide, ce qui lui permet d'échapper à la détection sur 71 antivirus de VirusTotal. À celle-ci est associée une DLL malveillante déguisée en bibliothèque graphique NVIDIA, la charge utile étant dissimulée dans du contenu légitime pour paraître authentique. Lorsque la victime exécute l'installeur, la DLL malveillante se charge par chargement latéral et la charge utile reste chiffrée jusqu'à la phase d'exécution, rendant sa détection difficile au préalable. Le paquet comprend également des installeurs leurres prêts à l'emploi, comme FinePrint, SystemSettings, une fausse mise à jour Windows et Fling-Standalone pour le public gamer, conçus pour pousser les utilisateurs à exécuter le malware.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.