GlassWorm Malware Exploits Solana Dead Drops for RAT Attacks

LockSelf Team

5 min de lecture
Partager
GlassWorm Malware Exploits Solana Dead Drops for RAT Attacks

Alerte de Sécurité : Menace Active GlassWorm

GlassWorm utilise des techniques avancées permettant de masquer et de délivrer des charges utiles via une chaîne d'opérations sur la blockchain Solana. Cette menace permet le vol d'identifiants de navigateur, de tokens de session et de clés liées aux portefeuilles crypto. Une réaction rapide est indispensable pour protéger nos systèmes.

Contexte et mode opératoire

GlassWorm exploite la capacité des blockchains publiques à stocker de petites quantités de données pour créer des "dead drops" qui servent de mécanisme de livraison de payloads vers des postes compromis¹. Le malware orchestre une séquence d'actions: récupération d'un pointeur sur la blockchain Solana, téléchargement du payload par le client compromis, puis installation d'une extension Chrome malveillante qui sert de vecteur principal pour voler cookies, tokens et clés crypto². Les chercheurs ont observé des techniques visant à dissimuler les communications RPC et à tirer parti du mode développeur des extensions Chrome pour contourner les protections².

Le caractère distribué des dead drops complique la prise de mesures classiques contre les canaux de commande centralisés. Les opérateurs peuvent modifier les points de livraison sur la blockchain sans laisser d'infrastructure réseau facile à neutraliser, ce qui augmente la fenêtre d'exposition.

Menaces concrètes pour l'entreprise

  • Vol de cookies et tokens de session menant à l'usurpation de comptes cloud et d'applications critiques.
  • Vol de clés privées ou d'informations de récupération de portefeuilles crypto, générant un risque de perte financière directe.
  • Persistance par extension malveillante, permettant une surveillance prolongée et l'exfiltration régulière de données sensibles.
  • Impact réputationnel et obligations réglementaires en cas d'exfiltration de données personnelles, potentiellement soumises au RGPD³.

Selon les rapports publics, le coût d'une fuite de données peut atteindre des millions de dollars par incident, ce qui rend chaque compromission potentiellement critique pour la santé financière et la confiance client³.

Actions immédiates à lancer maintenant

Illustration cybersécurité

Les mesures suivantes doivent être exécutées sans délai pour limiter la propagation et réduire l'impact.

Isolation des postes et confinement

  • Isolez immédiatement toute machine suspecte du réseau principal et du Wi-Fi d'entreprise. Placez-les sur un VLAN de quarantaine ou déconnectez-les physiquement.
  • Bloquez temporairement l'accès non autorisé aux RPC Solana connus si l'infrastructure n'utilise pas activement ces services. Effectuez une liste blanche des endpoints RPC approuvés et appliquez-la au périmètre réseau.

Collecte et analyse initiale

  • Exportez les logs EDR et les captures de trafic réseau des 72 dernières heures pour les postes concernés.
  • Prenez une image mémoire et disque des machines suspectes avant toute suppression d'artefacts pour conserver des preuves.
  • Vérifiez le répertoire des extensions Chrome pour repérer des extensions installées récemment, des dossiers en mode développeur ou des fichiers JS non signés. Les indicateurs remontés par les chercheurs doivent guider la recherche¹².

Contention des comptes et sessions

  • Forcez la rotation des tokens et la réinitialisation des sessions pour les comptes d'infrastructure et les administrateurs dont les cookies ou tokens ont pu être exposés.
  • Demandez aux utilisateurs concernés de changer immédiatement leurs mots de passe et d'activer l'authentification multifactorielle.

Communication interne

  • Informez les équipes IT, sécurité et la direction en fournissant un statut clair et les actions en cours.
  • Mobilisez l'équipe juridique et conformité pour évaluer les obligations de notification en cas d'exfiltration de données personnelles³.

Mesures de durcissement recommandées (court terme - 72 heures)

  • Imposer une politique de liste blanche pour les extensions Chrome via GPO ou Chrome Enterprise. Désactiver le mode développeur pour les profils gérés.
  • Restreindre l'exécution de binaires provenant de sources non approuvées en utilisant AppLocker ou Windows Defender Application Control.
  • Renforcer la segmentation réseau pour limiter l'accès des postes utilisateurs aux systèmes sensibles.
  • Déployer des règles IDS/IPS et des signatures EDR pour détecter les comportements liés au téléchargement depuis endpoints Solana RPC et à la manipulation d'extensions Chrome².

Indicateurs de compromission et détection

  • Connexions sortantes vers endpoints RPC Solana non documentés sur les ports 80/443.
  • Modifications récentes dans les répertoires de profil Chrome, en particulier le dossier des extensions.
  • Processus en mémoire correspondant à des RATs connus ou à des tâches de capture d'écran et d'accès aux cookies¹.
  • Apparition d'extensions non signées, d'entrées de démarrage inhabituelles ou de communications chiffrées vers des adresses IP liées aux outils d'analyse relayés par la blockchain.

Travaillez avec vos fournisseurs EDR pour intégrer ces IOCs et créer des alertes prioritaires. L'objectif est de réduire le temps moyen de détection.

Investigation forensique et élimination

  • Réalisez une analyse complète des images mémoire et disque pour quantifier l'étendue de l'exfiltration. Concentrez-vous sur l'historique du navigateur, les fichiers d'extension et les artefacts de processus.
  • Supprimez l'extension malveillante uniquement après avoir prélevé les preuves nécessaires. Si l'infection est profonde, préparez des réinstallations contrôlées des postes affectés.
  • Reconstituez la timeline d'infection pour identifier le vecteur initial et les comptes compromis.

Surveillance et prévention à moyen terme

  • Mettez en place une journalisation fine des modifications des répertoires de profil navigateur et des paramètres de politique de groupe.
  • Établissez une procédure de revue régulière des extensions approuvées et des droits des utilisateurs locaux.
  • Inventoriez l'utilisation légitime des services Web3 et limitez l'accès aux endpoints RPC approuvés. Créez des règles d'alerte pour identifier des schémas d'utilisation RPC anormaux plutôt qu'un blocage total¹.

Risque réglementaire et communication externe

En cas d'exfiltration de données personnelles, coordonnez immédiatement avec l'équipe juridique pour déterminer les obligations de notification aux autorités compétentes et aux personnes concernées. Les délais de notification peuvent être courts selon la réglementation applicable et une réponse tardive peut aggraver les conséquences légales et réputationnelles³.

Checklist d'intervention rapide

  • Isoler les postes suspects et collecter images mémoire et logs.
  • Bloquer ou filtrer les endpoints RPC Solana non approuvés.
  • Exporter et analyser les dossiers d'extensions Chrome.
  • Faire tourner les tokens et forcer la réinitialisation des sessions sensibles.
  • Notifier les équipes internes et préparer la communication externe si nécessaire.

La fenêtre de réponse est courte. Chaque minute sans confinement augmente la probabilité d'exfiltration et la portée des dommages.

Questions fréquentes

Comment détecter rapidement une infection GlassWorm sur un poste de travail ?

Recherchez des connexions réseau vers des endpoints RPC Solana non documentés, des modifications récentes du dossier d'extensions Chrome, des extensions installées en mode développeur, et la présence de processus RAT en mémoire. Corrélez ces éléments avec les logs EDR indiquant l'accès aux cookies ou des captures d'écran actives¹².

Que faire si une extension malveillante est trouvée dans Chrome ?

Isolez la machine, prenez une image mémoire et disque, exportez les logs avant toute suppression. Supprimez l'extension après collecte de preuves, forcez la rotation des tokens et mots de passe pour les comptes accédés par le navigateur, et lancez une analyse forensique approfondie pour évaluer l'exfiltration¹.

Faut-il bloquer tout trafic vers Solana et autres blockchains ?

Non. Dressez d'abord un inventaire des usages légitimes de Web3 dans l'entreprise. Restreignez l'accès aux endpoints RPC approuvés et mettez en place de la journalisation et des règles d'alerte pour les schémas d'utilisation anormaux plutôt qu'un blocage aveugle¹.

Quels contrôles empêchent l'installation non autorisée d'extensions Chrome ?

Imposer une liste blanche d'extensions via GPO ou Chrome Enterprise (ExtensionInstallForcelist), désactiver le mode développeur, renforcer les droits locaux des utilisateurs et journaliser les modifications des répertoires de profil navigateur.

Sources

Lire la suite