Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition.
Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025.
Plusieurs requêtes permettent de détecter des menaces majeures :
- Lumma Stealer : domaines alphabétiques sur TLD rares, usage de nameservers Cloudflare, mails inbox.eu et registrar PDR, organisation/personne mimant “Firstname Lastname”.
- Clickfix Fake Captcha : domaines avec un motif “alpha-di/id+nombres.com”, nameservers Cloudflare.
- StealC C2 : serveur nginx sur Ubuntu, header hash spécifique, réponse 403 en racine, content-length nul.
- Latrodectus Loader : C2 sur ASN Cloudflare (13335), domaine .com, page 404 en racine, signature ssdeep HTML.
- ClearFake DGA : noms 7 lettres + 1 chiffre, .ru, registrar REGRU-RU, nameservers cloudflare.
- Kongtuke injection : fichiers JS 4 caractères alternés chiffre-lettre, external root, domaine alphabétique variable.
Les TTP adverses identifiés s’appuient sur :
- La création automatisée de domaines au motif spécifique (DGA)
- L’utilisation de registrars et nameservers redondants (ex : Cloudflare, REGRU-RU)
- La rotation régulière des adresses d’enregistrement et des serveurs C2
- L’hébergement de fichiers malveillants à l’extérieur des sites compromis
Les IOCs techniques à utiliser pour la chasse :
- Patterns de domaines (regex spécifiques, TLD ciblés, séquence alpha-numérique)
- Adresses IP associées à C2 utilisant nginx/Ubuntu et headers spécifiques
- Noms et organisations simulant authentique lors du whois
- mails @inbox.eu pour Lumma
- Javascript malveillant en path racine avec alternance alpha-numérique
Ce billet souligne l’importance de surveiller l’infrastructure dès l’enregistrement des domaines, avant l’activation totale des campagnes, pour permettre le blocage et la réponse anticipée sur les menaces émergentes.
🛡️ En synthèse, il s’agit d’un article d’analyse de menace présentant des requêtes de threat hunting et des méthodes d’infrastructure hunting centrées sur la Community Edition de Silent Push, avec pour but principal la détection anticipée d’infrastructures malveillantes.
🔗 Source originale : https://www.silentpush.com/blog/advanced-queries-for-real-malware-detection/