Des macros Office responsables du chargement du bot Kasidet

Il a été démontré à maintes reprises que les individus malintentionnés ont renouvelé leur intérêt pour les macros Microsoft Office et qu’ils utilisent activement ces dernières pour les malwares bancaires, et ces derniers temps BlackEnergy. Récemment, les chercheurs de la société californienne zScaler ont découvert que ce même vecteur est utilisé par les individus qui propagent le bot Kasidet, connu sous le nom Neutrino.

Les documents Office malveillants sont diffusés sous la forme de pièce jointe dans des messages de harponnage ; d’après les analyses de zScaler, cette diffusion de volume réduit est devenue particulièrement agressive au cours des deux dernières semaines. Il est intéressant de constater qu’outre Kasidet, ce dropper VBA télécharge également le malware bancaire Dridex.

Le malware Kasidet est connu depuis 2013 et jusqu’il y a peu, il intervenait principalement dans l’organisation d’attaques DDoS. La version analysée par zScaler possède des fonctions plus riches, notamment des fonctions de vol de données. Il est en mesure de voler les données confidentielles aussi bien dans les navigateurs (interception API) que dans la mémoire des terminaux de point de vente (d’après les rumeurs, le module correspondant aurait été ajouté en septembre de l’année dernière). On remarquera que les noms des navigateurs : Firefox, Chrome, IE sont enregistrés sous forme chiffrée dans le code du malware à l’aide de la même fonction de hachage utilisée antérieurement à des fins similaires par Carberp.

La nouvelle version de Kasidet est également capable de surveiller l’utilisation d’outils d’analyse comme les débogueurs, les bacs à sable et les machines virtuelles. Le bot envoie toutes les informations volées ainsi que les renseignements sur le système infecté aux serveurs de commande dont la liste figure dans le code sous la forme d’adresses Internet chiffrées.

Dans le cadre de la présentation des résultats de l’analyse, les chercheurs signalent que le chargement conjoint de Kasidet et Dridex ne signifie pas nécessairement que les deux campagnes sont liées. « Les fichiers malveillants de la catégorie Malicious Office sont un vecteur très utilisé par les auteurs de virus pour livrer la charge utile » écrivent les auteurs du rapport. Cela fait plus d’un an que les auteurs de Dridex utilisent cette technique. Il serait intéressant de découvrir que cette même campagne, avec les mêmes adresses Internet, sert à diffuser Kasidet. »

Les diffuseurs de Dridex ont intégré les macros Office à leur arsenal à la fin 2014. Ils ont d’abord utilisé le format Excel avant de passer à XML. Au mois d’octobre, Invincea a remarqué un nouveau pic d’activité de Dridex en France et au début du mois dernier, des chercheurs de chez IBM ont découvert une nouvelle version du malware bancaire qui visaient des banques britanniques. Pour livrer le Trojan, des macros ont été utilisées dans tous les cas, même si l’exécution de ces dernières est désactivée par défaut depuis longtemps et que les individus malintentionnés doivent amener l’utilisateur à activer manuellement les macros. Tout semble indiquer que ce vecteur de diffusion de malwares demeure toujours aussi efficace.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *