GlassWorm dissimule un RAT dans une extension Chrome malveillante

Il y a quelques jours, nous avons évoqué le cas de GlassWorm, qui avait compromis des centaines de dépôts GitHub ainsi qu’un package React très populaire sur npm. En continuant à analyser la charge utile complète, nous avons découvert un framework en plusieurs étapes qui installe un RAT persistant et, au cœur de l'étape 3, force l'installation d'une extension Chrome se faisant passer pour Google Docs Offline. Celle-ci enregistre les frappes au clavier, récupère les cookies et les jetons de session, capture des captures d'écran et reçoit des commandes d'un serveur C2 dissimulé dans un mémo de la blockchain Solana.

Phase 1 : L'infection initiale

Projets détournés

GlassWorm s'implante initialement via des paquets malveillants publiés sur npm, PyPI, GitHub et la place de marché OpenVSX. L'acteur malveillant mène deux actions de front : (1) créer de nouveaux paquets malveillants à partir de zéro, et (2) pirater les comptes des responsables de projets afin de publier des versions malveillantes de projets légitimes.

Deux types de chargeurs

GlassWorm est sans doute surtout connu pour son chargeur Unicode invisible Nous en avons déjà parlé dans des articles précédents, mais ce n'est pas le seul mécanisme de diffusion utilisé. Une deuxième variante, plus directe, utilise un code obfusqué classique preinstall scénario, comme on a pu le voir récemment Vulnérabilité de react-native-country-select sur npm. Les deux solutions aboutissent finalement au même résultat et partagent la même balise C2 basée sur la blockchain, mais elles empruntent des voies très différentes pour y parvenir.

Quel que soit le chargeur qui parvienne à la machine victime, le processus d'exécution de la phase 1 reste le même. Après un délai de démarrage de 10 secondes, le chargeur effectue deux vérifications avant de poursuivre.

Géorepérage. Le chargeur vérifie cinq signaux de paramètres régionaux (os.userInfo().username, process.env.LANG, process.env.LANGUAGE, process.env.LC_ALL, et la configuration régionale « Intl ») par rapport à /ru_RU|ru-RU|russe|russe/i, et compare le fuseau horaire du système et le décalage par rapport à l'UTC à une liste fixe de fuseaux horaires russes allant de Europe/Moscow à Asia/Anadyr. Si une locale russe est détectée, l'exécution s'arrête.

limitation de débit. Le chargeur lit ~/init.json (ou %USERPROFILE%\init.json (sous Windows) et vérifie un horodatage enregistré. Si le fichier a été créé il y a moins de deux heures, l'exécution s'arrête. Sinon, l'horodatage est mis à jour.

Blockchain Solana C2

Enfin, le programme de chargement interroge la blockchain Solana pour obtenir son adresse C2. Plutôt que d'intégrer en dur une URL susceptible d'être supprimée, l'auteur de la menace la stocke dans le note de service champ d'une transaction Solana. Le chargeur appelle getSignaturesForAddress en ciblant un portefeuille à clé fixe, en parcourant successivement neuf points de terminaison RPC publics jusqu'à ce que l'un d'entre eux réponde :

• https://api.mainnet-beta.solana.com
• https://solana-mainnet.gateway.tatum.io
• https://go.getblock.us/86aac42ad4484f3c813079afc201451c
• https://solana-rpc.publicnode.com
• https://api.blockeden.xyz/solana/KeCh6p22EX5AeRHxMSmc
• https://solana.drpc.org
• https://solana.leorpc.com/?api_key=FREE
• https://solana.api.onfinality.io/public
• https://solana.api.pocket.network/

Deux adresses de portefeuille ont été identifiées dans les deux variantes du programme de téléchargement :

• BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC (Chargeur Unicode)
• 6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ (Chargeur de préinstallation obscurci)

Le chargeur effectue des requêtes en boucle toutes les 10 secondes jusqu’à ce qu’il trouve une transaction dont le champ « memo » n’est pas nul. La fonctionnalité « memo » de Solana a été conçue pour ajouter des annotations aux transactions, mais elle sert ici de point de dépôt secret. Les mémos sont permanents, visibles publiquement sur la chaîne et stockés sur une infrastructure qui ne peut être supprimée par aucune partie seule. L'opérateur peut mettre à jour l'URL de la phase 2 à tout moment en envoyant une nouvelle transaction Solana avec un nouveau mémo. Aucun paquet n'a besoin d'être modifié, aucune infrastructure n'a besoin d'être redéployée, et il n'y a rien que les défenseurs puissent bloquer au niveau de la couche réseau.

La note conservée dans le portefeuille 6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ est :

{"link":"aHR0cDovLzQ1LjMyLjE1MC4yNTEvM2U0VGc4ViUyRjhhQ21PSktpcEFTQURnJTNEJTNE"}

Le link La valeur est une URL encodée en Base64. Décodée :

http://45.32.150.251/3e4Tg8V%2F8aCmOJKipASADg%3D%3D

Le chargeur récupère cette URL à l'aide d'un os en-tête défini pour la plateforme actuelle (Darwin, Linux, ou Win32), ce qui permet au C2 de 45.32.150[.]251 pour diffuser des charges utiles spécifiques à chaque plateforme. Le corps de la réponse correspond à la charge utile chiffrée de la phase 2, qui est ensuite déchiffrée et exécutée. Au moment de la rédaction de cet article, le serveur C2 était toujours actif et renvoyait une charge utile pour Win32.

Étape 2 : Exfiltration secrète

La charge utile de la phase 2 est un infrastructure complète de vol de données comprenant la collecte d'identifiants, l'exfiltration de portefeuilles cryptographiques, le profilage de l'hôte et sa propre logique de dropper pour la phase 3 finale et persistante. Toutes les données collectées sont stockées sous %TEMP%\hJxPxpHP\, compressé, puis envoyé via une requête POST à http://217.69.3[.]152/wall.

Vol de portefeuille cryptographique

La charge utile effectue une recherche récursive %APPDATA% et %LOCALAPPDATA% pour les profils d'extensions de navigateur et les données des applications de portefeuille autonomes. Il cible 71 identifiants de portefeuilles sous forme d'extensions de navigateur, couvrant pratiquement tous les principaux portefeuilles utilisés : MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr, etc. Il recueille également .txt les fichiers contenus dans les dossiers « Documents » et « Bureau » de la victime, et copie les images dont les noms de fichiers correspondent à des mots-clés associés à des phrases de récupération ou à des avoirs en cryptomonnaies.

Vol d'identifiants de développeurs

La phase 2 cible les répertoires d'identifiants qu'un développeur de logiciels est susceptible d'avoir sur son ordinateur. La charge utile indique ~/.npmrc et process.env.NPM_TOKEN. Tout jeton détecté est validé en temps réel par rapport à https://registry.npmjs.org/-/whoami avant l'exfiltration. Il extrait également les jetons via le identifiants Git à partir de la ligne de commande et de la mémoire interne de VS Code.

Exfiltration de Cloud

L'étape 2 copie également les fichiers d'identifiants pour AWS, GCP, Azure, Docker, Kubernetes, les clés SSH et Heroku .netrc, de DigitalOcean doctl, et Terraform.

Profilage de l'hôte

Enfin, cela génère un system_info.txt avec un profil matériel détaillé, les variables d'environnement, les applications installées, les processus en cours d'exécution, la configuration du disque et les informations relatives au système d'exploitation.

Se préparer pour la phase 3

Une fois l'exfiltration terminée, la phase 3 est préparée par le téléchargement de deux composants :

• 3a) Fichier binaire de phishing destiné aux portefeuilles cryptographiques physiques (Ledger et Trezor).
• 3b) Un RAT immortel basé sur WebSocket, enregistré sous le nom de %APPDATA%\QtCvyfVWKH\index.js, qui est fourni avec plusieurs binaires :
  
  • c_x64.node / f_ex86.node — programmes de vol d'identifiants de navigateur
  • données — Contournement du chiffrement lié aux applications Chrome
  • index_ia32.node / index_x64.node — Modules HVNC
  • w.node (Windows) / m (macOS) — Installe une extension de navigateur malveillante

La charge utile du RAT n'est pas simplement codée en dur avec une URL. Elle récupère plutôt la page publique de Google Agenda à l'adresse https://calendar.app.google/2NkrcKKj4T6Dn4uK6 et extrait le titre de l'invitation. Cette valeur est décodée en Base64 et ajoutée en tant que slug d'URL à http://45.32.150[.]251. Utilisation de Google Agenda comme couche de réorientation pour la transmission de données utiles c'est une tendance que nous suivons depuis mars 2025, et elle continue d'apparaître régulièrement dans les outils utilisés par cet acteur malveillant.

Étape 3a : Hameçonnage visant les portefeuilles matériels

Sur les machines où %APPDATA%\Ledger Live si elle existe, l'étape 3 récupère un fichier binaire .NET WPF à partir de http://45.32.150[.]251/led-win32, le pose à %TEMP%\SKuyzYcDD.exe, et ajoute HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateLedger pour la persistance. Le nom interne du fichier est Assaac.exe ; il est attribué à une société se faisant appeler « LLC LogicSub » (SHA-256 : 06fab21dc276e3ab9b5d0a1532398979fd377b080c86d74f2c53a04603a43b1d). Ce fichier binaire n'est pas un RAT. Sa seule fonction est de voler des portefeuilles cryptographiques en se faisant passer pour Ledger Live et Trezor.

‍

Au démarrage, il interroge https://ipapi.co/xml et vérifie si le pays indiqué figure parmi les neuf pays exclus de la région de la CEI : la Russie, le Kazakhstan, le Kirghizistan, l'Azerbaïdjan, le Tadjikistan, l'Ouzbékistan, la Biélorussie, la Moldavie et l'Arménie. Si la victime se trouve dans l'un de ces pays, l'exécution s'interrompt. Cela reprend la logique de géorepérage de la phase 1.

Le programme enregistre un abonnement à un événement WMI afin de détecter les connexions de périphériques USB :

SELECT * FROM __InstanceCreationEvent WITHIN 2 WHERE TargetInstance ISA 'Win32_PnPEntity'

Lorsqu'un appareil Ledger ou Trezor est branché, la fenêtre de phishing correspondante s'ouvre. L'interface utilisateur du Ledger affiche une fausse erreur de configuration et présente 24 champs de saisie numérotés pour la phrase de récupération. L'interface utilisateur du Trezor affiche un faux message indiquant « Échec de la validation du micrologiciel, redémarrage d'urgence en cours » avec la même disposition de saisie en 24 mots. Les deux fenêtres comportent un bouton « RÉTABLIR LE PORTEFEUILLE ».

Une boucle d'arrière-plan s'exécutant toutes les secondes appelle Process.GetProcessesByName pour tuer tous les processus Ledger Live en cours et afficher à nouveau la fenêtre de phishing si la victime la ferme. Le Fermeture de fenêtre Le gestionnaire intercepte les tentatives de fermeture et affiche une boîte de dialogue avertissant que la fermeture pourrait entraîner la perte d'actifs cryptographiques.

Lorsqu'une phrase valide est saisie, les 24 mots sont transmis via System.Net.Http.HttpClient à 45.150.34[.]158.

Étape 3b : RAT basé sur WebSocket

Le RAT est enregistré sous le nom de %APPDATA%\QtCvyfVWKH\index.js et intègre deux mécanismes de persistance pour survivre aux redémarrages. Une tâche planifiée nommée Mettre à jour l'application s'exécute au démarrage avec les privilèges les plus élevés, et un HKCU\Software\Microsoft\Windows\CurrentVersion\Run La touche exécute un lanceur PowerShell à l'adresse %LOCALAPPDATA%\QtCvyfVWKH\AghzgY.ps1.

L'immortalité est intégrée. Les points d'accrochage du script Renseignement d'origine électromagnétique, SIGTERM, SIGQUIT, SIGHUP, SIGUSR2, exception non interceptée, et Rejet non géré. À la réception de l'un de ces signaux, il planifie le téléchargement et le redémarrage de la charge utile. Si le processus est interrompu, il se reconfigure simplement par la suite.

C2 à base de DHT

Le RAT n'enregistre pas en dur l'adresse de son serveur de commande et de contrôle principal. Il effectue une recherche dans le DHT pour trouver la clé publique enregistrée. 3c90fa0e84dd76c94b1468f38ed640945d72bc12, démarrage autonome via dht.libtorrent.org, router.bittorrent.com, et router.utorrent.com.

L'opérateur stocke la configuration en temps réel dans la valeur DHT associée à cette clé. Si la commande `dht.get` échoue immédiatement, le script effectue une nouvelle tentative au bout de cinq minutes. Si elle ne renvoie aucune valeur, le script se rabat sur le « dead-drop » de Solana Memo : il interroge getSignaturesForAddress pour le portefeuille BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC, décode l'adresse IP à partir du champ « lien » du mémo et relance la recherche. Le mémo Solana peut être mis à jour à tout moment avec une nouvelle adresse IP afin de réinitialiser l'accessibilité du DHT sans avoir à modifier le chargeur.

La configuration récupérée de l'infrastructure de l'attaquant :

• 217.69.0[.]159:10000 - Nœud de démarrage DHT
• 45.32.150[.]251 - C2 basé sur WebSocket
• 217.69.3[.]152:80 - Serveur d'exfiltration

Les commandes C2

Une fois la configuration DHT établie, le script ouvre une connexion Socket.IO vers 45.32.150[.]251:4787 et traite cinq catégories d'ordres C2 :

• start_hvnc / stop_hvnc: Déploie le module natif HVNC pour permettre un accès à distance masqué au bureau.
• start_socks / chaussettes anti-glissement: Récupère un module WebRTC à partir de http://45.32.150[.]251/module/wrtc, l'installe dans %APPDATA%\_node_x64\webrtc\wrtc-win32-x64\index.js, et l'exécute en tant que proxy SOCKS, transformant ainsi l'ordinateur de la victime en nœud proxy, qui sert d'infrastructure permettant à l'auteur de la menace de mener d'autres attaques à partir de l'adresse IP de la victime.
• reget_log: Exécute l'ensemble du processus de vol et d'exfiltration des identifiants du navigateur.
• get_system_info: Renvoie le système d'exploitation, le processeur, la mémoire, le nom d'hôte, la durée de fonctionnement, le nom d'utilisateur et le répertoire personnel.
• commande: exécute du code JavaScript arbitraire fourni par l'attaquant via eval(), ce qui permet à l'attaquant d'exécuter du code à distance sans restriction.

Vol d'identifiants de navigateur

Le script cible Chrome, Edge, Brave, Opera, Opera GX, Vivaldi et Firefox. Il répertorie les répertoires de profils, vérifie les cookies pour identifier les profils actifs, puis appelle c_x64.node pour extraire les identifiants directement des bases de données SQLite du navigateur (données de connexion, cookies, données Web). À partir de la version 127, Chrome crypte sa clé principale à l'aide du chiffrement lié à l'application (App-Bound Encryption), ce qui empêche normalement tout processus extérieur à Chrome de la lire. Le fichier binaire de données tente de contourner cette fonctionnalité de sécurité. Les résultats sont stockés sous forme de fichiers JSON dans le répertoire %TEMP%\EUXFUxzOVe\, comprenant les cookies, les identifiants enregistrés, les données de remplissage automatique, l'historique de navigation, les signets et les cartes de paiement. Le répertoire est compressé au format ZIP, chiffré, puis envoyé via une requête POST à 217.69.3[.]152:80/log.

Extension Chrome malveillante de type RAT

Le script installe également de force une extension qui se fait passer pour Google Docs hors ligne (version 1.95.1). Il récupère son C2 à partir d'un mémo Solana distinct, en interrogeant getSignaturesForAddress pour le portefeuille DSRUBTziADDHSik7WQvSMjvwCHFsbsThrbbjWMoJPUiW. Le mémo de ce portefeuille contient les champs « c2server » et « checkIp », qui renvoient respectivement au serveur API de l'extension et à l'assistant geo-IP. Après avoir analysé le mémo, l'extension s'enregistre en tant qu'agent via POST /api/register, enregistre l'agent_id renvoyé dans chrome.storage.local, puis commence à interroger GET /api/commands?agent_id=<id> à un intervalle aléatoire de 5 à 30 secondes.

L'opérateur peut entrer les commandes suivantes :

• domsnapshot: extrait l'intégralité document.documentElement.outerHTML de l'onglet actif
• getcookies: récupère les cookies, avec la possibilité de les filtrer par domaine
• vidage de la mémoire locale: affiche tout localStorage paires clé-valeur
• take_screenshot: capture une capture d'écran de l'onglet encodée en Base64
• capturer le contenu du presse-papiers: lit le presse-papiers via navigator.clipboard.readText()
• historique: extrait jusqu'à 5 000 entrées de l'historique du navigateur (fenêtre par défaut : 7 jours)
• Signets: exporte l'arborescence complète des signets
• énumération: identifie le navigateur, le matériel, les détails WebGL/GPU et analyse les extensions installées via chrome-extension://<id>/manifest.json
• lancer le keylogger / arrêter le keylogger / récupérer les données du keylogger: écoute les événements keydown, keyup, keypress, input, change, focus et blur sur toutes les pages ; capture les valeurs saisies, les métadonnées du formulaire et le contexte de l'élément cible ; vide le tampon vers POST /api/exfil toutes les cinq secondes

Toutes les données collectées sont transmises à POST /api/exfil comme { agent_id, action, payload }.

L'extension assure également une surveillance ciblée des sessions. Elle récupère les règles relatives aux sites surveillés à partir de /api/get-url-for-watch et est livré avec Bybit (.bybit.com) préconfiguré comme cible, à l'affût des cookies « secure-token » et « deviceid ». Lorsqu'il les détecte, il déclenche un webhook « auth-detected » vers /api/webhook/auth-detected contenant les données des cookies et les métadonnées de la page. Le serveur C2 peut également fournir des règles de redirection qui forcent les onglets actifs à se connecter à des URL contrôlées par l'attaquant.

Détection et Protection

Les menaces invisibles exigent des défenses actives. On ne peut pas se contenter d'code review visuelle code review d'un linting standard pour détecter ce qui n'est pas visible. Chez Aikido, nous avons intégré la détection de Glassworm et d'autres acteurs malveillants directement dans notre pipeline d'analyse des logiciels malveillants.

Si vous utilisez déjà Aikido, ces packages seraient signalés dans votre flux comme une détection critique (100/100).

Pas encore sur Aikido ? Créez un compte gratuit et liez vos dépôts. Le plan gratuit inclut notre couverture de détection de malwares (aucune carte de crédit requise).

Enfin, un outil capable de bloquer en temps réel les logiciels malveillants de la chaîne d'approvisionnement dès leur apparition peut empêcher une infection grave. C'est le principe sur lequel repose Aikido Chain, un outil gratuit et open source qui s'intègre à npm, npx, yarn, pnpm et pnpx et s'appuie à la fois sur l'IA et sur des chercheurs spécialisés dans les logiciels malveillants pour détecter et bloquer les derniers risques liés à la chaîne d'approvisionnement avant qu'ils ne pénètrent dans votre environnement.

Indicateurs de compromission

Réseau — Adresses IP

• 45.32.150[.]251 — Déploiement de la charge utile de l'étape 2, RAT WebSocket de l'étape 3 (:4787)
• 217.69.3[.]152 — Serveur d'exfiltration : Étape 2 (/wall), Étape 3 (/log)
• 217.69.0[.]159 — Nœud de démarrage DHT (:10000)
• 45.150.34[.]158 — Exfiltration de la phrase de récupération Ledger/Trezor

Réseau — URL C2

• http://45.32.150[.]251/3e4Tg8V%2F8aCmOJKipASADg%3D%3D — Charge utile chiffrée de la phase 2
• http://45.32.150[.]251/led-win32 — Téléchargement du fichier binaire de phishing pour Ledger/Trezor
• http://45.32.150[.]251/get_arhive_npm/nt70c2J3PG%2BfPBSFHJKoWQ%3D%3D — Archive des modules natifs
• http://45.32.150[.]251/get_encrypt_file_exe/E/E%2BT9tEjmURMwNnCCY2CA%3D%3D — Charge utile opérationnelle du HVNC
• http://45.32.150[.]251/module/wrtc — Module WebRTC pour proxy SOCKS
• http://45.32.150[.]251:4787 — Canal RAT WebSocket (Socket.IO)
• http://217.69.3[.]152/wall — Point d'arrivée de l'exfiltration (phase 2)
• http://217.69.3[.]152:80/log — Point d'extraction des identifiants de navigateur (étape 3)
• https://calendar.app[.]google/2NkrcKKj4T6Dn4uK6 — Étape 3 : redirection d'URL via une invitation Google Agenda

Portefeuilles Solana

• BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC — Chargeur Unicode de phase 1 avec point de dépôt C2 ; solution de secours DHT de phase 3
• 6YGcuyFRJKZtcaYCCFba9fScNUvPkGXodXE1mJiSzqDJ — Chargeur de préinstallation obscurci de phase 1, point de dépôt C2
• DSRUBTziADDHSik7WQvSMjvwCHFsbsThrbbjWMoJPUiW — Extension de navigateur C2 Dead-Drop

Hachages de fichiers (SHA-256)

• 06fab21dc276e3ab9b5d0a1532398979fd377b080c86d74f2c53a04603a43b1d — Assaac.exe / SKuyzYcDD.exe (fichier binaire de phishing ciblant Ledger/Trezor)
• f171c383e21243ac85b5ee69821d16f10e8d718089a5c090c41efeaa42e81fca — c_x64.node (programme de vol d'identifiants de navigateur, Windows x64)
• 9df62cefd87784c7ee1ca8b4e6fc49737a90492fa6c23901e3b7981b18c6c988 — f_ex86.node (programme de vol d'identifiants de navigateur, Windows x86)
• 43253a888417dfab034f781527e08fb58e929096cb4ef69456c3e13550cb4e9e — données (contournement du chiffrement lié à l'application Chrome)
• 4a60afa085fe5a847aef164578537bc33b9b58954143381e0c65c6354e4501e3 — index_ia32.node (module HVNC, Windows x86)
• de81eacd045a88598f16680ce01bf99837b1d8170c7fc38a18747ef10e930776 — index_x64.node (module HVNC, Windows x64)
• fdba5be3da2467e642bd8710f971e6b266b30ac15f5f413982fd719d7e0bffd9 — w.node (programme d'installation forcée pour l'extension Chrome, Windows x64)
• ee3e4dd5c1e073b8805f4107ccc7bc7e6e3c209fe13ea04ff3f2173c8dbe74a6 — m (programme d'installation forcée de l'extension Chrome, binaire universel macOS)

Noms de fichiers

• ~/init.json / %USERPROFILE%\init.json — Horodatage de limitation de débit ; contient un UUID, une version et une date
• %TEMP%\hJxPxpHP\ — Répertoire de mise en place des certificats de la phase 2
• %TEMP%\EUXFUxzOVe\ — Répertoire de stockage temporaire des identifiants de navigateur (étape 3)
• %TEMP%\SKuyzYcDD.exe — Fichier binaire de phishing pour Ledger/Trezor
• %APPDATA%\QtCvyfVWKH\index.js — Script principal RAT de la phase 3
• %LOCALAPPDATA%\QtCvyfVWKH\AghzgY.ps1 — Lanceur de persistance PowerShell de niveau 3
• %APPDATA%\_node_x86\node\node.exe — Le runtime Node.js v22.9.0 x86 a été téléchargé en arrière-plan
• %APPDATA%\_node_x64\node\node.exe — Le runtime Node.js v22.9.0 x64 a été téléchargé en arrière-plan
• %APPDATA%\_node_x64\webrtc\wrtc-win32-x64\index.js — Module proxy SOCKS
• %LOCALAPPDATA%\Google\Chrome\jucku\ — Répertoire des extensions Chrome malveillantes (Windows)
• /Bibliothèque/Application Support/Google/Chrome/myextension/ — Répertoire des extensions Chrome malveillantes (macOS)

Registre

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateApp — Persistance du RAT au stade 3
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateLedger → %TEMP%\SKuyzYcDD.exe — Persistance binaire via hameçonnage de Ledger

Tâches planifiées

• Mettre à jour l'application — Courses AghzgY.ps1 (Étape 3) au démarrage avec les privilèges les plus élevés

WMI

• SELECT * FROM __InstanceCreationEvent WITHIN 2 WHERE TargetInstance ISA 'Win32_PnPEntity' — Déclencheur de détection de portefeuille matériel USB (fichier binaire de phishing Ledger)

Extension de navigateur

• Nom d'affichage : Google Docs Offline (version 1.95.1)
  
  • Nom du répertoire des extensions (Windows) : jucku
  • Nom du répertoire de l'extension (macOS) : myextension

Noms des processus

• Assaac — Nom du processus interne du fichier binaire de phishing Ledger/Trezor