Selon Unit 42 (Palo Alto Networks), des chercheurs ont identifié « Airstalk », une nouvelle famille de malware Windows comportant des variantes PowerShell et .NET, utilisée pour des opérations furtives de commande et contrôle via l’API MDM d’AirWatch (Workspace ONE).
— Découverte et attribution —
• Famille: Airstalk (Windows).
• Variantes: PowerShell et .NET.
• Attribution: acteur étatique suivi comme CL-STA-1009 (confiance moyenne).
• Vecteur probable: attaques supply chain ciblant des organisations de BPO (business process outsourcing).
— Abus de l’infrastructure MDM (C2) —
• Utilisation de l’API AirWatch: /api/mdm/devices/ pour les communications C2 via attributs personnalisés comme mécanisme de « dead drop », et /api/mam/blobs/uploadblob pour l’exfiltration de fichiers.
• Protocole C2: messages JSON avec champs CLIENT_UUID et SERIALIZED_MESSAGE; types de messages MESSAGE_TYPE: CONNECT, CONNECTED, ACTIONS, RESULT, PING, DEBUG, MISMATCH.
— Capacités et fonctionnalités —
• Variante PowerShell: prise en charge de 8 commandes dont capture d’écran, vol de cookies Chrome via remote debugging, et énumération de fichiers.
• Variante .NET: C2 multithreadé, 3 types de livraison (DEBUG, RESULT, BASE) avec threads séparés pour la gestion des tâches, le debug logging et le beaconing; 12 tâches visant les navigateurs Chrome, Edge et Island; versioning et évasion via un certificat de signature de code probablement volé (révoqué peu après émission).
• Données visées: cookies, historique, signets des navigateurs ciblés.
— Artefacts techniques et IoCs disponibles —
• Endpoints API: /api/mdm/devices/, /api/mam/blobs/uploadblob.
• Schéma C2: champs JSON CLIENT_UUID, SERIALIZED_MESSAGE; MESSAGE_TYPE: CONNECT, CONNECTED, ACTIONS, RESULT, PING, DEBUG, MISMATCH.
• Signature: binaires signés avec un certificat Aoteng Industrial Automation (révoqué).
• Timestamps PE manipulés pour masquer la chronologie de développement.
Type d’article: publication de recherche visant à documenter une analyse de menace et les techniques d’un nouveau malware Windows.
🔗 Source originale : https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/