- Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64.
- La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus.
- La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
- Le malware a été transmis à VirusTotal depuis la Corée du Sud, où se situent des victimes.
Les chercheurs d’ESET ont découvert l’une des charges utile (payload) du téléchargeur Wslink : une porte dérobée nommée WinorDLL64. La région ciblée ainsi que des similitudes au niveau du comportement et du code suggèrent que cet outil peut faire partie de l’arsenal du groupe de pirates Lazarus. La porte dérobée est capable d’exfiltrer, d’écraser et de supprimer des fichiers, d’exécuter des commandes et d’obtenir des informations détaillées sur le système touché.
« Wslink, dont le fichier porte le nom WinorLoaderDLL64.dl, est un chargeur d’exécutables Windows qui, contrairement aux autres chargeurs de ce type, fonctionne sous forme de serveur et exécute en mémoire les modules qu’il réceptionne. Un chargeur d’’exécutables sert charger en mémoire un logiciel malveillant ou la charge utile (payload) sur un système compromis, » explique Vladislav Hrčka, le chercheur d’ESET qui a fait cette découverte. « Le malware Wslink peut être utiliser ultérieurement à des fins de mouvement latéral, en raison de son intérêt spécifique pour les sessions réseau. Le chargeur Wslink est en écoute sur un port spécifié dans sa configuration et peut répondre à des clients. » ajoute-t-il.
Le code et le comportment de WinorDLL64 présente des similitudes avec plusieurs échantillons attribués au groupe Lazarus, ce qui indique qu’il pourrait s’agir d’un outil provenant de l’arsenal de ce groupe de pirates aligné avec la Corée du Nord.
Le malware Wslink, initialement inconnu, a été transmis à VirusTotal depuis la Corée du Sud peu après la publication d’un article d’ESET Research sur le chargeur Wslink. La télémétrie d’ESET n’a vu que quelques détections du chargeur Wslink en Europe centrale, en Amérique du Nord et au Moyen-Orient. Les chercheurs d’AhnLab ont confirmé des victimes sud-coréennes de Wslink dans leur télémétrie, ce qui est un indicateur pertinent, compte tenu des cibles traditionnelles de Lazarus et du fait qu’ESET Research n’a observé que quelques détections.
Actif depuis au moins 2009, ce groupe aligné sur la Corée du Nord est responsable d’incidents très médiatisés tels que le piratage de Sony Pictures Entertainment, le vol de cryptomonnaies en 2016 d’une valeur de plusieurs dizaines de millions de dollars, l’infection de WannaCryptor (alias WannaCry) en 2017, et une longue série d’attaques perturbatrices contre des infrastructures essentielles et publiques de la Corée du Sud depuis au moins 2011. L’US-CERT et le FBI nomment ce groupe HIDDEN COBRA.
Pour obtenir plus d’informations techniques sur WinorDLL64, consultez l’article « WinorDLL64 : A backdoor from the vast Lazarus arsenal? » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.