Source: Fortinet (FortiGuard Labs) — FortiGuard Labs publie une analyse de l’évolution de la famille Chaos et décrit une nouvelle variante C++ qui s’éloigne pour la première fois des implémentations .NET. Cette version met l’accent sur des tactiques plus destructrices et rapides: détournement du presse‑papiers pour voler des cryptomonnaies, chiffrement hybride (AES‑256‑CFB ou RSA, avec repli XOR) et suppression anti‑récupération lorsque les privilèges administrateur sont disponibles. FortiGuard indique fournir des protections via des signatures sur FortiGate, FortiMail, FortiClient et FortiEDR.
• Chaîne d’infection et persistance: le déploiement passe par un faux téléchargeur d’utilitaire qui écrit la charge utile dans %TMP%\svc[XXXX].tmp et l’exécute silencieusement. Le malware crée un mutex (“SvcHostMutex7z459ajrk”) pour éviter les doublons et vérifie une infection préalable via %APPDATA%\READ_IT.txt.
• Capacités destructrices et anti‑récupération 🧹: avec des droits admin, il désactive les mécanismes de récupération Windows via vssadmin, wmic, bcdedit et wbadmin. Il cible des types de fichiers spécifiques tout en évitant les répertoires système.
• Mécanisme de chiffrement 🔐: l’engin s’appuie sur CryptoAPI (CryptAcquireContextA, CryptCreateHash, CryptDeriveKey) pour un chiffrement AES‑256‑CFB avec dérivation de clé SHA‑256; si CryptoAPI n’est pas disponible, il bascule sur un XOR basé sur GetTickCount(). Gestion par taille: ≤50 Mo chiffrés, 50 Mo–1,3 Go ignorés, >1,3 Go: suppression de contenu. Les fichiers chiffrés reçoivent l’extension .chaos et un en‑tête de 4 octets indiquant la taille de la clé, suivi de la clé de chiffrement.
• Vol de cryptomonnaies 💰: le détournement du presse‑papiers valide les adresses Bitcoin (26–64 caractères, préfixes 1, 3, bc1) et les remplace par les portefeuilles des attaquants en utilisant GlobalAlloc() et SetClipboardData().
• Évolution de la famille: progression depuis le chiffrement complet (Chaos 2021, BlackSnake) vers le remplacement destructeur (Lucky_Gh0$t), puis vers des approches hybrides optimisées (Chaos‑C++ types 1–3) exploitant RSA, XOR ou AES avec des stratégies de traitement de fichiers variables.
IOCs (extraits):
- Mutex: “SvcHostMutex7z459ajrk”
- Chemin de dépôt: %TMP%\svc[XXXX].tmp
- Marqueur d’infection: %APPDATA%\READ_IT.txt
- Extension ajoutée: .chaos
TTPs (extraits):
- Faux téléchargeur pour le déploiement silencieux
- Inhibition de la récupération: vssadmin, wmic, bcdedit, wbadmin
- Chiffrement: AES‑256‑CFB via CryptoAPI; dérivation SHA‑256; repli XOR (GetTickCount())
- Tri par taille: chiffrement ≤50 Mo; saut 50 Mo–1,3 Go; suppression >1,3 Go
- Détournement du presse‑papiers et substitution d’adresses BTC (préfixes 1/3/bc1)
- Évitement de répertoires système; ciblage de types de fichiers spécifiques
- Ajout de l’extension .chaos et en‑tête contenant taille de clé + clé
Type d’article: analyse de menace — objectif principal: documenter l’évolution et les capacités de la nouvelle variante Chaos‑C++ ainsi que les couvertures annoncées par FortiGuard Labs.
🧠 TTPs et IOCs détectés
TTPs
[‘Faux téléchargeur pour le déploiement silencieux’, ‘Inhibition de la récupération: vssadmin, wmic, bcdedit, wbadmin’, ‘Chiffrement: AES-256-CFB via CryptoAPI; dérivation SHA-256; repli XOR (GetTickCount())’, ‘Tri par taille: chiffrement ≤50 Mo; saut 50 Mo–1,3 Go; suppression >1,3 Go’, ‘Détournement du presse-papiers et substitution d’adresses BTC (préfixes 1/3/bc1)’, ‘Évitement de répertoires système; ciblage de types de fichiers spécifiques’, ‘Ajout de l’extension .chaos et en-tête contenant taille de clé + clé’]
IOCs
[‘Mutex: SvcHostMutex7z459ajrk’, ‘Chemin de dépôt: %TMP%\svc[XXXX].tmp’, ‘Marqueur d’infection: %APPDATA%\READ_IT.txt’, ‘Extension ajoutée: .chaos’]
🔗 Source originale : https://www.fortinet.com/blog/threat-research/evolution-of-chaos-ransomware-faster-smarter-and-more-dangerous