Connexion
địt mẹ mày Morphisec - Quand les auteurs de malware narguent les chercheurs en sécu
Alors ça c'est du culot les amis ! Des cybercriminels vraisemblablement vietnamiens viennent de se faire remarquer d'une manière plutôt... originale. Leur petit stealer Python embarque carrément une insulte en vietnamien répétée DES MILLIONS de fois dans le code. Et pas n'importe quelle insulte, une qui vise directement Morphisec , un éditeur de solutions de cybersécurité.
Le message "địt mẹ mày Morphisec" (je vous laisse deviner la traduction... Vous ne trouvez pas ? Ça veut dire "Nique ta mère, Morphisec" loool) est bourré partout dans le payload obfusqué. Le fichier de 16 Ko gonfle à 116 Mo une fois décodé, soit une expansion de x7425. Pas vraiment discret donc comme technique, mais efficace pour faire ramer les scripts d'analyse qui se retrouvent à itérer sur des millions de constantes bidon.
Ce sont les chercheurs de Profero qui ont disséqué ce petit bijou et ils y ont découvert que le stealer utilise une chaîne d'infection plutôt sophistiquée. Ça démarre par un binaire Adobe légitime (ADNotificationManager.exe) qui charge une DLL malveillante via sideloading. Ensuite, WinRAR renommé en japonais (lol) extrait une archive, puis Python 3.10 déguisé en svchost.exe entre en scène.
C'est de la sorcellerie !
Et là, le truc vraiment vicieux c'est que le voleur d'infos utilise Telegram comme serveur de commande et contrôle (C&C). Plutôt que de coder en dur des URLs qui se feraient griller en deux secondes, les auteurs ont opté pour une technique de "Dead Drop Resolver". Le malware va chercher ses instructions dans les métadonnées og:description d'une chaîne Telegram publique. C'est pas con, hein ?
Du coup, une fois installé, ce stealer aspire tout ce qui bouge. Identifiants des navigateurs, cookies, portefeuilles crypto... Le genre de trucs qu'on retrouve ensuite dans ces histoires de dev malheureux qui ont installé des extensions malveillantes et qui font des ravages. Les données volées atterrissent sur un canal Telegram privé baptisé "Reset Logs".
L'attribution vietnamienne est donc plutôt solide. L'admin du bot Telegram se fait appeler @Byte_ManzZz, le code contient des tags comme "vietnamnumber1", et y'a des noms de développeurs genre "_ngocuyen" qui laissent peu de place au doute, même si d'autres auraient pu tenter de brouiller les pistes volontairement. Une fois encore, quand il s'agit de cybercriminalité, on est jamais sûr de rien.
Bref, on est face à des gars qui non seulement ont du talent technique mais qui en plus se payent le luxe de narguer l'industrie de la sécu. Ce serait presque drôle... si c'était pas du vol de données en bande organisée.
