EgyPack, un autre kit d’exploitation pirate qui émerge

0
74

Il se nomme EgyPack Exploit Kit et son origine est inconnue pour le moment.

Les liens pointant vers le kit amènent vers ce qui ressemble à un fichier JPEG (attention, il peut toujours être fonctionnel) :

 

hxxp://img130.imagehacks.es/img130/801/banner.jpeg?id=f8cdedaf861396068a58ab5a7f026e74

Mais ce n’est pas vraiment un fichier image :


L’auteur (ou les auteurs) semble vouloir faire dans l’auto-promotion du terme “EgyPack” qui se retrouve dans énormément d’endroits dans le code JavaScript. Il utilise une technique permettant de récupérer le contenu des conteneurs textarea et div pour construire le code d’exploitation final. Vous pourriez avoir vu cette technique utilisée par d’autres kits d’exploitation célèbres.

Voici quelques clichés qui montrent une version nettoyé du code :

Il y a plusieurs méthodes de dissimulation utilisées dans ce code, mais il a surtout été le fait du remplacement de caractères enveloppé dans un ensemble . Après avoir épluché une des trois couches, vous obtenez ça. Cela semble être le cœur de leur routine de décryptage.

L’exploit Java semble être celui du CVE2010-0886. Il télécharge un fichier DLL appelé “jvm.dll”. Lorsque l’on désassemble ce fichier, on voit que c’est aussi un téléchargeur.

Il fait un GET avec la chaîne user-agent “Egypack/1.0” et un temps de keep-alive de 300, puis créer un fichier binaire appelé “egy.exe” dans le dossier% APPDATA%. Malheureusement, le site ne fonctionnait pas donc il est impossible de confirmer son comportement, ni ce que les logiciels malveillants étaient au final.

Source : Kahu Security