L’article publié par Prodaft dans son repository Github “malware-ioc” met en lumière une campagne malveillante orchestrée par le groupe LARVA-208.
LARVA-208 a compromis le jeu Steam Chemia pour distribuer plusieurs familles de malwares. Les binaries malveillants ont été intégrés directement dans l’exécutable du jeu disponible sur la plateforme Steam. Lors du téléchargement et du lancement du jeu par les utilisateurs, le malware s’exécute en parallèle de l’application légitime.
Cette méthode est utilisée par LARVA-208 pour livrer deux charges principales : Fickle Stealer et HijackLoader. Ces malwares permettent de voler des informations sensibles et d’infecter davantage les systèmes des victimes.
Les indicateurs de compromission (IOC) incluent plusieurs domaines de commande et contrôle (C2) pour Fickle Stealer et Vidar Stealer, ainsi que des URL de téléchargement et des hachages SHA256 spécifiques pour chaque malware impliqué.
Cet article est une analyse technique qui vise à informer sur les détails de la campagne malveillante, en fournissant des IOCs pour aider à la détection et à la prévention de ces menaces.
🧠 TTPs et IOCs détectés
TTP
T1027 - Obfuscated Files or Information, T1036 - Masquerading, T1071 - Application Layer Protocol, T1105 - Ingress Tool Transfer, T1204 - User Execution
IOC
domain: [commande et contrôle (C2) pour Fickle Stealer et Vidar Stealer], url: [URL de téléchargement], hash: [hachages SHA256 spécifiques pour chaque malware impliqué]
🔗 Source originale : https://github.com/prodaft/malware-ioc/blob/master/LARVA-208/SteamCampaign.md