Source: Malwarebytes — Analyse d’une campagne d’usurpation de site distribuant un installateur RustDesk modifié qui déploie le backdoor Winos4.0.

Les chercheurs décrivent une imitation quasi parfaite du site officiel de RustDesk via le domaine malveillant rustdesk[.]work, conçu pour tromper les utilisateurs (SEO/branding) et leur faire télécharger un installateur qui paraît légitime. L’installateur installe le vrai RustDesk afin de conserver l’illusion, mais déploie simultanément un backdoor Winos4.0 offrant un accès persistant aux attaquants. 🎭

Chaîne d’infection: l’exécutable rustdesk-1.4.4-x86_64.exe agit comme dropper et leurre, déposant le véritable installateur RustDesk et logger.exe (chargeur Winos4.0). Le loader crée un nouveau processus, alloue de la mémoire exécutable, et bascule vers une identité d’exécution Libserver.exe, puis déploie les modules Winos4.0 en mémoire (stagers DLL et une charge d’environ 128 Mo) pour éviter la détection basée sur fichiers. Le trafic C2 est ensuite établi tandis que le poste semble simplement utiliser RustDesk.

Capacités et furtivité: Winos4.0 permet la surveillance, la capture d’écran, le keylogging, le vol d’identifiants, le téléchargement/exec de charges supplémentaires et la persistance. Pour la défense, il emploie l’exécution en mémoire, la détection d’environnements d’analyse, des contrôles de langue/locale, l’effacement de l’historique navigateur, et le stockage chiffré de configuration dans le registre. Le trafic malveillant se mêle au trafic RustDesk légitime (API/relays), compliquant la détection réseau. 🕵️‍♂️

IOCs principaux:

  • Domaines/IP/Ports
    • Malveillant: rustdesk[.]work
    • C2: 207.56.13[.]76:5666/TCP
    • Légitimes observés (bruit de couverture): 209.250.254.15:21115-21116, api.rustdesk.com:443
  • Fichiers et hachages (SHA256)
    • Installateur trojanisé: 330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30
    • logger.exe / Libserver.exe (loader Winos4.0): 5d308205e3817adcfdda849ec669fa75970ba8ffc7ca643bf44aa55c2085cb86
    • Binaire RustDesk légitime: c612fd5a91b2d83dd9761f1979543ce05f6fa1941de3e00e40f6c7cdb3d4a6a0
  • Charges en mémoire (SHA256 / taille / type)
    • a71bb5cf751d7df158567d7d44356a9c66b684f2f9c788ed32dadcdefd9c917a — 107 KB — WinosStager DLL
    • 900161e74c4dbab37328ca380edb651dc3e120cfca6168d38f5f53adffd469f6 — 351 KB — WinosStager DLL
    • 770261423c9b0e913cb08e5f903b360c6c8fd6d70afdf911066bc8da67174e43 — 362 KB — WinosStager DLL
    • 1354bd633b0f73229f8f8e33d67bab909fc919072c8b6d46eee74dc2d637fd31 — 104 KB — WinosStager DLL
    • 412b10c7bb86adaacc46fe567aede149d7c835ebd3bcab2ed4a160901db622c7 — ~128 MB — Payload en mémoire
    • 00781822b3d3798bcbec378dfbd22dc304b6099484839fe9a193ab2ed8852292 — 307 KB — Payload en mémoire

TTPs observées (MITRE style) 🚨:

  • Usurpation de site / typosquatting et SEO poisoning
  • Installateur trojanisé (dropper + leurre) et bundling logiciel légitime + malware
  • Exécution/résidence en mémoire (fileless), stagers DLL, gros payload en mémoire
  • Changement d’identité de processus (logger.exeLibserver.exe), allocation mémoire et handoff loader→implant
  • Anti-analyse: détection sandbox/debug, vérifications de langue/locale
  • Effacement d’artefacts: suppression de l’historique de navigation
  • Configuration chiffrée dans des chemins registre atypiques
  • C2 persistant sur 5666/TCP, camouflage dans le trafic RustDesk légitime

Conclusion: article d’analyse de menace détaillant une campagne d’imitation de RustDesk menant au déploiement de Winos4.0, avec preuves techniques, IOCs et description des mécanismes d’évasion.

🧠 TTPs et IOCs détectés

TTPs

[‘Usurpation de site / typosquatting et SEO poisoning’, ‘Installateur trojanisé (dropper + leurre) et bundling logiciel légitime + malware’, ‘Exécution/résidence en mémoire (fileless), stagers DLL, gros payload en mémoire’, ‘Changement d’identité de processus (logger.exe → Libserver.exe), allocation mémoire et handoff loader→implant’, ‘Anti-analyse: détection sandbox/debug, vérifications de langue/locale’, ‘Effacement d’artefacts: suppression de l’historique de navigation’, ‘Configuration chiffrée dans des chemins registre atypiques’, ‘C2 persistant sur 5666/TCP, camouflage dans le trafic RustDesk légitime’]

IOCs

{‘domains’: [‘rustdesk[.]work’], ‘ips’: [‘207.56.13[.]76’], ‘ports’: [‘5666’], ‘hashes’: [‘330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30’, ‘5d308205e3817adcfdda849ec669fa75970ba8ffc7ca643bf44aa55c2085cb86’, ‘c612fd5a91b2d83dd9761f1979543ce05f6fa1941de3e00e40f6c7cdb3d4a6a0’, ‘a71bb5cf751d7df158567d7d44356a9c66b684f2f9c788ed32dadcdefd9c917a’, ‘900161e74c4dbab37328ca380edb651dc3e120cfca6168d38f5f53adffd469f6’, ‘770261423c9b0e913cb08e5f903b360c6c8fd6d70afdf911066bc8da67174e43’, ‘1354bd633b0f73229f8f8e33d67bab909fc919072c8b6d46eee74dc2d637fd31’, ‘412b10c7bb86adaacc46fe567aede149d7c835ebd3bcab2ed4a160901db622c7’, ‘00781822b3d3798bcbec378dfbd22dc304b6099484839fe9a193ab2ed8852292’]}

🔗 Source originale : https://www.malwarebytes.com/blog/threat-intel/2026/01/how-real-software-downloads-can-hide-remote-backdoors