Découverte d’un programme malveillant qui serait le nouveau GameOver

Il y a un peu plus d’un mois maintenant que le FBI et Europol ont décapité le réseau de zombies développé à l’aide de GameOver après s’être emparé de l’infrastructure de commande. Toutefois, une découverte récente a amené les chercheurs à évoquer une éventuelle tentative de relancer ce terrible cheval de Troie bancaire.

La semaine dernière, les experts de Malcovery Security ont découvert une nouvelle campagne de diffusion de messages non sollicités dont l’objectif est la diffusion d’un programme malveillant qui, selon toute vraisemblance, utilise le code binaire de GameOver. Généralement, ces messages malveillants imitaient des notifications d’organisations financières dont M&T Bank et NatWest. Ils étaient dotés d’une pièce jointe malveillante qui dissimulait un fichier SCR exécutable.

Brendan Griffin et Gary Warner, les experts de Malcovery qui ont analysé le programme malveillant, ont fourni les explications suivantes : "Une fois que la pièce jointe est ouverte et que la charge utile est activée, le programme malveillant commence à communiquer avec certains sites en utilisant un algorithme de génération de domaines. Ces opérations visent à établir une connexion avec le serveur afin de recevoir de nouvelles instructions. Ce programme malveillant ne s’exécute pas dans tous les bacs à sable car il est capable de détecter la présence de VMWare Tools. D’autres bacs à sable ne remarquent pas que la connexion a été établie : le programme malveillant a besoin de 6 à 10 minutes pour générer un domaine aléatoire ; au cours de cette période, il réussit non seulement à s’exécuter, mais il est également capable de charger des injections Web depuis le serveur de commande".

Bien que la version antérieure de GameOver utilisait également un algorithme de génération de noms de domaine ou DGA (en guise de mécanisme d’appoint pour faire face à une perte de la communications avec ses pairs), la liste des domaines de commande potentiels utilisée par la nouvelle version est différente. En effet, l’infrastructure antérieure se trouve toujours sous le contrôle des organismes qui ont réalisé la saisie. Les experts soulignent que "la nouvelle liste fournie par le DGA n’est pas associée au GameOver original mais elle ressemble étonnamment au DGA que celui-ci utilisait. Il semblerait que le nouveau programme malveillant a remplacé non seulement l’algorithme de génération de noms de domaine, mais également l’organisation réseau, délaissant la structure p2p au profit d’hôtes de commande accessibles via fast-flux."

Les experts indiquent également que l’analyse du nouveau cheval de Troie a permis de mettre en évidence de nombreux traits caractéristiques de GameOver. Brendan Griffin et Gary Warner poursuivent : "Malcovery a réussi à identifier plusieurs hôtes de commande qui, nous en sommes convaincus, sont liés à cette tentative de résurrection du réseau de zombies GameOver. Une fois connecté à n’importe lequel de ces nœuds, le programme malveillant a affiché un comportement caractéristique de GameOver, dont une liste d’URL et de sous-chaînes utilisées pour charger des injections Web, des outils de récupération de formulaire et d’autres éléments qui simplifient le vol d’informations."

La population de ce programme malveillant n’a pas encore été définie, mais au 11 juillet, la société danoise CSIS avait recensé moins de 1 000 infections. Les experts de SecureWorks ont intercepté le trafic sur un des domaines produits par le DGA et en 12 heures, ils ont compté 117 ordinateurs infectés, principalement aux Etats-Unis, en Inde et à Singapour. SecureWorks a également ajouté des compléments d’informations intéressants aux résultats obtenus par Malcovery. Ainsi, les diffusions de messages non sollicités qui visent à propager la nouvelle version de GameOver sont organisées à l’aide du réseau de zombies Cutwail. Les données envoyées au centre de commande sont chiffrées à l’aide d’un algorithme RSA et les serveurs accessibles via fast-flux sont hébergés sur des réseaux par procuration loués qui sont également utilisés par les exploitants de Rerdom, KINS (version VM de ZeuS), Pony Loader et Andromeda. Ce réseau compte de plusieurs centaines à plusieurs milliers d’hôtes actifs, situés principalement en Russie et en Ukraine.

Quoi qu’il en soit, Malcovery signale que cette découverte "démontre que les groupes criminels responsables de la diffusion de GameOver n’ont pas l’intention de faire une croix sur ce réseau de zombies, même s’ils ont été victimes d’une des plus grandes saisies de l’histoire".

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *