StyleServ Malware agit comme une porte dérobée

StyleServ est classé comme un malware de type porte dérobée, qui entre dans une catégorie de programmes malveillants conçus pour préparer un système à une infiltration ultérieure ou exécuter une deuxième étape d'infection. Bien que l'objectif précis de StyleServ reste flou pour le moment, il est fort probable qu'il serve d'outil préliminaire pour faciliter les infections ultérieures.

Comme mentionné précédemment, la fonctionnalité exacte de StyleServ reste incertaine au moment de la rédaction de ce rapport. Néanmoins, il est probable que ce logiciel malveillant soit utilisé pour analyser les réseaux qu'il a infiltrés, à la recherche d'informations susceptibles de contribuer à faire progresser l'attaque, telles que l'identification des vulnérabilités existantes au sein de la cible.

Il est crucial de souligner que ces outils sont couramment utilisés dans des attaques polyvalentes et ciblées qui dépendent de la cible spécifique et de ses vulnérabilités en matière de sécurité ou de leur absence.

Les infections StyleServ sont connues pour utiliser la technique de chargement latéral des DLL. Cette technique exploite le mécanisme d'ordre de recherche des DLL Windows pour exploiter un programme légitime permettant d'exécuter une charge utile malveillante, telle que StyleServ.

Cette porte dérobée est utilisée dans des attaques passives qui impliquent la surveillance du système, qui peut englober des activités telles que la recherche de vulnérabilités et l'ouverture de ports. Certaines attaques passives nécessitent une interaction minimale avec le système ciblé, tandis que d'autres s'engagent dans une reconnaissance active. Un exemple de cette dernière approche est l’analyse des ports, qui vise à recueillir des informations sur le fonctionnement d’un réseau, en mettant l’accent sur l’identification des points faibles potentiels et des voies d’infiltration plus profondes.

Mode de fonctionnement de StyleServ

Dans les infections de StyleServ, une fois la DLL activée, elle lance cinq threads, chacun affecté à un port différent. Ces threads tentent périodiquement d'accéder à un fichier nommé "stylers.bin" à intervalles de 60 secondes. La légitimité du dossier est déterminée en fonction de sa disponibilité et de sa conformité à certains critères.

Si le fichier est considéré comme valide, il est utilisé dans les requêtes réseau par les threads suivants. Les threads servent principalement de versions cryptées de « stylers.bin » et agissent comme des récepteurs pour les connexions à distance, surveillant les comportements des sockets réseau.

Il est important de noter que StyleServ présente une connexion ténue avec le groupe de logiciels malveillants Cur ; un échantillon de cette porte dérobée a été fourni par le même utilisateur qui a téléchargé une variante du chargeur CurLu. Si les spéculations concernant le lien de StyleServ avec une infection CurLu se confirment, cela établirait une connexion entre StyleServ et le même acteur malveillant utilisant des programmes affiliés à la famille de logiciels malveillants Cur.