Chewbacca, le dernier programme malveillant en date à privilégier Tor

Il est vrai que le réseau Tor constitue une protection robuste pour les Internautes qui veulent garantir le respect de leur vie privée, mais il représente également une protection pour les attaquants.

Plusieurs campagnes de programmes malveillants ont réussi à manipuler le réseau Tor et à exploiter le réseau anonyme comme canal de communication pour masquer le trafic de données volées et d’instructions malveillantes entre les bots et les serveurs decommande.

Ceci étant dit, si nous entendons parler de plus en plus souvent de ces campagnes sur Tor, c’est parce qu’elles sont détectées.

La dernière en date à avoir été exposée est la campagne baptisée Chewbacca par les membres de l’équipe de recherche et d’analyse internationale de Kaspersky Lab. Chewbacca détecte des processus en exécution sur les ordinateurs compromis, lit la mémoire du processus, place un enregistreur de frappes et est en mesure d’extraire ces informations des ordinateurs infectés.

Marco Preuss, chef de l’équipe de recherche de Kaspersky en Europe, a déclaré que ce programme malveillant n’était pas disponible sur les forums clandestins publics à la différence d’autres comme ZeuS ; les chercheurs de Kaspersky ont trouvé récemment un version 64 bits d’un programme malveillant bancaire tristement célèbre qui exploite Tor pour ses communications.

Marco Preuss écrivait dans le blogue Securelist que "le programme malveillant était peut-être en développement ou qu’il était utilisé et partagé en privé. Il semblerait que certains criminels soient attirés par l’idée d’héberger leur infrastructure sur Tor en raison de la plus grande "sécurité" offerte pour les centres de commande, mais cette solution a ses inconvénients."

En raison du chiffrement qui sécurise les communications sur Tor entre plusieurs sauts de proxy, les pirates doivent s’accommoder de la complexité et de la latence complémentaires sur le réseau. De plus, les pirates qui gèrent un réseau de zombies sur Tor ont plus de chance d’être repérés car le volume considérable de trafic supplémentaire généré pourrait ralentir le réseau et indiquer la présence d’un problème aux observateurs.

C’est exactement ce qui est arrivé avec le réseau de zombies Mevade. Selon l’hypothèse des chercheurs, le gang derrière Mevade a déplacé le réseau de zombies sur Tor pour gêner les tentatives de mise hors ligne réalisées par les forces de l’ordre, mais le seul résultat qu’ils ont obtenu fut de créer du jour au lendemain un pic de trafic sur Tor, ce qui a alerté les personnes en charge de ce réseau sur l’activité illicite.

Les chercheurs de Kaspersky n’ont pas dévoilé comment ils avaient détecté Chewbacca, ni l’étendue de sa propagation. Le programme malveillant est un exécutable PE32 compilé avec Free Pascal 2.7.1. Son fichier de 5 Mo inclut l’exécutable Tor. Comme l’explique Marco Preuss, une fois exécuté, le programme malveillant s’introduit dans le dossier de démarrage de l’ordinateur de la victime en tant que spoolsv.exe. Il exécute ensuite son enregistreur de frappes, puis consigne toutes les frappes dans un journal créé par le programme malveillant.

Il se base ensuite sur deux scripts php pour extraire les informations de l’ordinateur infecté et les envoyer à l’attaquant, bien que pour l’instant seul un de ces scripts fonctionne.

Marco Preuss a déclaré que le serveur de commande est également hébergé sur un domaine .onion de Tor. La partie frontale du serveur est une interface d’ouverture de session superposée sur une image du personnage de la Guerre des étoiles Chewbacca. Kaspersky détecte le cheval de Troie Chewbacca sous le nom Trojan.Win32.Fsysna.fej.

Il est probable que d’autres campagnes malveillantes soient exécutées via Tor ; des recherches récentes ont détecté non seulement la version 64 bits de ZeuS et Mevade, mais également un kit d’exploitation baptisé Atrax qui est capable de lancer des attaques par déni de service et d’extraire des bitcoins en plus de voler des données dans les navigateurs.

Tor n’est pas la seule option qui s’offre aux attaquants. Des criminels russes utilisaient un autre darknet appelé I2P ou Invisible Internet Project en tant que protocole de communication pour le programme malveillant financier i2Ninja. i2Ninja ressemble aux autres chevaux de Troie bancaires en ce sens qu’il possède des capacités d’injection HTTP, un e-mail, un FTP et la capture de formulaires, mais il propose également une assistance 24 h/24, 7j/7 payante.

http://threatpost.com/chewbacca-latest-malware-to-take-a-liking-to-tor/103220

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *