ShellClient Malware cible l'industrie aérospatiale depuis 2018
ShellClient Malware est un cheval de Troie d'accès à distance récemment découvert qui, cependant, est utilisé depuis plus de deux ans. Les criminels derrière lui sont traqués sous le pseudonyme de MalKamak, et cette campagne particulière se concentre sur l'espionnage. Les acteurs malveillants se sont attaqués à de grandes entreprises et institutions actives en Europe, en Russie, aux États-Unis et au Moyen-Orient. Ce qui est spectaculaire à propos de ShellClient Malware, c'est qu'en raison de sa faible activité et de sa conception intelligente, il a réussi à rester sous le radar pendant plus de deux ans avant d'être finalement identifié et disséqué. Il semble que les principales cibles du logiciel malveillant ShellClient appartenaient à l'industrie de l'aérospatiale et des télécommunications.
ShellClient Malware a subi des changements majeurs en 2 ans
La dernière version du logiciel malveillant ShellClient remonte à mai 2021 - c'est un signe certain que ses développeurs publient régulièrement des mises à jour pour leur charge utile. Naturellement, toutes les instances actives du malware ont été automatiquement mises à jour vers la dernière version disponible. Une autre particularité de cette campagne est que les pirates informatiques ont déguisé le logiciel malveillant en processus légitime RuntimeBroker.exe. Ce dernier processus est un composant Windows légitime qui gère les autorisations d'application du Microsoft Store.
Une autre chose importante à ajouter à propos du logiciel malveillant ShellClient est que sa variante initiale était beaucoup plus minimaliste. En fait, il fonctionnait comme un shell inversé de base qui permettait aux attaquants d'exécuter des commandes à distance. Cependant, sur une période de deux ans, il a subi des changements majeurs le transformant en un cheval de Troie d'accès à distance modulaire à part entière.
L'espionnage étant l'objectif principal de cette menace, ses principales caractéristiques impliquent l'exécution de code à distance et l'exfiltration de données. Comme mentionné ci-dessus, il dispose d'une fonction de mise à jour automatique et d'une structure modulaire, permettant ainsi aux opérateurs de gérer facilement l'implant.