Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommé WEB_RAT, est un infostealer sophistiqué écrit en Go ciblant Windows, opéré sous un modèle Malware-as-a-Service par des acteurs russophones.
• Capacités et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des données de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS.
• Persistance et évasion: Binaire UPX-packé, persistance par clés Run du registre et tâches planifiées, mascarade de processus (ex. Lightshot.exe). Il intègre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et désactivation de WinRE.
• Infrastructure et artefacts: L’infrastructure C2 est décrite comme résiliente avec domaines de repli multiples. Des indicateurs techniques mentionnés incluent une entropie élevée (~7,999), des chemins spécifiques dans %AppData%, et des communications avec des domaines comme salat.cn et webrat.in.
• Portée et posture défensive: L’analyse souligne l’urgence d’actions défensives renforcées via la surveillance des endpoints, des contrôles réseau et des programmes de sensibilisation.
Il s’agit d’une analyse de menace visant à documenter les mécanismes de persistance et l’infrastructure C2 de Salat Stealer, avec des indicateurs techniques pour la détection et la veille. ⚠️
IOC observés:
- Domaines: salat.cn, webrat.in
- Emplacement: chemins de fichiers dans %AppData% (précisés comme caractéristiques)
- Déguisement de processus: Lightshot.exe
TTPs mis en évidence:
- Emballage: UPX (Go binaire à haute entropie)
- Persistance: Run keys du registre, tâches planifiées
- Évasion/défense: exclusions Windows Defender, bypass UAC, désactivation WinRE
- Déguisement: mascarade de processus
- Exfiltration/C2: communications UDP et HTTPS, domaines de repli multiples
🧠 TTPs et IOCs détectés
TTPs
Emballage: UPX, Persistance: Run keys du registre, tâches planifiées, Évasion/défense: exclusions Windows Defender, bypass UAC, désactivation WinRE, Déguisement: mascarade de processus, Exfiltration/C2: communications UDP et HTTPS, domaines de repli multiples
IOCs
Domaines: salat.cn, webrat.in, Emplacement: chemins de fichiers dans %AppData%, Déguisement de processus: Lightshot.exe
🔗 Source originale : https://www.cyfirma.com/research/unmasked-salat-stealer-a-deep-dive-into-its-advanced-persistence-mechanisms-and-c2-infrastructure/