Un chargeur sophistiqué appelé « in2al5d p3in4er » (prononcé comme une imprimante invalide) a été identifié par des chercheurs en cybersécurité. Ce chargeur est conçu pour diffuser le logiciel malveillant Aurora, voleur d’informations, et utilise des techniques avancées de lutte contre les machines virtuelles pour cibler les postes de travail.

Selon un rapport de Morphisec, le chargeur est compilé avec Embarcadero RAD Studio et peut échapper à la détection en générant des exécutables pour plusieurs plateformes.

La principale tâche du chargeur consiste à rechercher l’identifiant du fournisseur de la carte graphique chargée et à le comparer à une liste d’identifiants de fournisseurs autorisés, tels que AMD, Intel ou NVIDIA.

Le chargeur s’arrête automatiquement si la valeur est incorrecte. Lorsque la charge utile finale a été chiffrée, le chargeur réserve de la mémoire pour stocker le contenu déchiffré avant de le lancer à partir de là ou utilise un processus d’évidement pour s’introduire dans le véritable processus « sihost.exe ».

Lire aussi : « WhatsApp introduit une nouvelle fonctionnalité de sécurité pour lutter contre les prises de contrôle de comptes ».

L’utilisation par le chargeur d’Embarcadero RAD Studio et du compilateur C++ « BCC64.exe » lui permet d’échapper à la détection de VirusTotal et de briser les indicateurs des fournisseurs de sécurité. Le chargeur dirige les utilisateurs vers de faux domaines où ils sont incités à installer le logiciel malveillant à l’aide de vidéos YouTube et de faux sites de téléchargement de programmes craqués optimisés pour le référencement.

Le chargeur in2al5d p3in4er fait partie d’une campagne à fort impact qui utilise des méthodes d’ingénierie sociale pour distribuer le logiciel malveillant stealer. Les résultats suggèrent que les acteurs de la menace utilisent YouTube comme canal de distribution de logiciels malveillants et dirigent les spectateurs vers de faux sites web. AresLoader, un autre chargeur de virus découvert par Intel 471, aurait été créé par une équipe ayant des liens avec les activités des hacktivistes russes.

L’in2al5d p3in4er est un chargeur mystérieux qui diffuse le logiciel malveillant Aurora, voleur d’informations. Il utilise des techniques anti-VM avancées, des méthodes d’ingénierie sociale et un compilateur sophistiqué pour échapper à la détection.