Des chercheurs en cybersécurité ont identifié une campagne de logiciels malveillants utilisant la blockchain TON, des logiciels légitimes et des composants Windows de confiance pour bâtir une infrastructure de commandement et contrôle (C2) résiliente, capable d’échapper aux mesures de sécurité conventionnelles. Les attaquants combinent la technologie blockchain avec des applications largement utilisées afin de compliquer la détection du malware et de perturber les efforts de neutralisation traditionnels. Cette campagne illustre une tendance croissante : des cybercriminels exploitent des technologies décentralisées et des écosystèmes de logiciels légitimes pour créer une infrastructure de malware hautement résistante, capable de survivre au blocage de domaines et aux défenses de sécurité classiques.
Les e-mails de phishing déclenchent une chaîne d’attaque multi-étapes
L’attaque commence par des e-mails de phishing déguisés en communications liées à une réservation. Les destinataires sont redirigés vers un lien Google Share qui les mène à un site web malveillant ; ils sont ensuite invités à télécharger une archive ZIP, soit directement, soit via une interface de type ClickFix. L’archive téléchargée contient un fichier de raccourci Windows (LNK) malveillant, dissimulé comme une image en utilisant une icône provenant de la bibliothèque Windows shell32.dll.
Une fois le fichier de raccourci ouvert, il exécute silencieusement une commande PowerShell obfusquée. Au lieu de stocker le domaine de téléchargement en clair, les attaquants encodent l’adresse sous forme de deux grandes valeurs numériques. Le script PowerShell intégré reconstruit le domaine malveillant en effectuant des opérations arithmétiques et des opérations bit à bit, ce qui rend l’infrastructure plus difficile à identifier par les outils de sécurité lors de l’analyse statique.
La charge utile PowerShell vérifie ensuite si l’environnement Node.js est déjà installé sur l’appareil cible. S’il n’est pas présent, le malware télécharge la version Windows légitime de Node.js depuis l’infrastructure officielle de distribution du projet et l’extrait dans le répertoire LocalAppData de l’utilisateur. En s’appuyant sur des composants logiciels authentiques plutôt que sur des exécutables malveillants uniquement, les attaquants cherchent à faire passer leur activité pour un comportement normal d’application et à réduire les risques de détection.
La charge utile JavaScript utilise un interpréteur de machine virtuelle sur mesure
Après avoir installé ou localisé Node.js, le malware déchiffre une charge utile JavaScript protégée par le chiffrement AES-128-CBC et encodée en Base64. Le code déchiffré est exécuté via le runtime Node.js légitime, la configuration de commande et contrôle étant fournie comme argument de runtime.
Les chercheurs ont indiqué que l’implant JavaScript était fortement obfusqué et exécuté via un interpréteur de machine virtuelle personnalisé plutôt que via du JavaScript standard. Cette technique augmente considérablement la complexité de l’analyse du malware en empêchant les outils de sécurité traditionnels basés sur les signatures d’identifier facilement le code malveillant.
La configuration hébergée sur la blockchain permet des mises à jour C2
L’attaque utilise la blockchain TON comme infrastructure de commande et contrôle résiliente, permettant aux attaquants de mettre à jour des instructions malveillantes sans modifier ni redistribuer le malware déjà installé sur des systèmes compromis. Les enquêteurs ont identifié plusieurs domaines historiques de commande et contrôle associés à la campagne. Toutefois, le malware ne dépend pas exclusivement de domaines fixes pour recevoir des instructions. À la place, les opérateurs peuvent modifier les données de configuration hébergées sur la blockchain chaque fois que l’infrastructure est bloquée, permettant ainsi aux systèmes infectés d’obtenir des informations C2 mises à jour sans que le malware lui-même doive être remplacé.
Le malware est capable de télécharger des exécutables Windows, des scripts PowerShell et des charges utiles JavaScript supplémentaires. Avant d’exécuter des programmes Windows téléchargés, il vérifie l’en-tête du fichier Portable Executable (PE), enregistre le fichier sous un nom généré aléatoirement dans le répertoire temporaire, et peut tenter d’ajouter le chemin du fichier à la liste d’exclusions de Microsoft Defender afin de réduire les chances de détection pendant l’exécution.
Les équipes de sécurité sont invitées à surveiller le phishing et les installations logicielles non autorisées
Les chercheurs ont conseillé aux organisations de rester vigilantes face aux campagnes de phishing utilisant des thèmes liés aux voyages et à la réservation, en particulier les e-mails contenant des liens Google Share qui redirigent les utilisateurs vers des téléchargements suspects. Ils ont également recommandé de surveiller les archives ZIP contenant des fichiers de raccourci LNK déguisés en images, ainsi que toute activité PowerShell inattendue et les installations non autorisées de Node.js sur des systèmes d’entreprise.
FAQ
À quoi sert la blockchain TON dans cette campagne de malware ?
La blockchain TON est utilisée comme infrastructure de commande et contrôle résiliente qui permet aux attaquants de mettre à jour des instructions malveillantes sans modifier ni redistribuer le malware déjà installé sur des systèmes compromis. Les opérateurs peuvent modifier les données de configuration hébergées sur la blockchain chaque fois que l’infrastructure est bloquée, permettant ainsi aux systèmes infectés de récupérer des informations C2 mises à jour.
Comment le malware se dissimule-t-il en tant que logiciel légitime ?
Le malware télécharge la version Windows légitime de Node.js depuis l’infrastructure officielle de distribution du projet et exécute des charges utiles JavaScript chiffrées via le runtime Node.js authentique. En s’appuyant sur des composants logiciels de confiance et des utilitaires Windows, les attaquants font passer leur activité pour un comportement normal d’application afin de réduire la probabilité de détection par les outils de sécurité.