Gameover se dote d’un outil de dissimulation d’activité

Des chercheurs de chez Sophos ont découvert une version du programme malveillant de type banker Gameover (modification р2р de ZeuS) qui utilisent les versions 32 et 64 bits d’un outil de dissimulation d’activité en mode noyau. L’analyse a démontré que les auteurs de ce nouveau venu ont tout simplement emprunter une technologie qui avait déjà été utilisée dans le downloader Necurs.

A la fin du mois de février, un version de Gameover dotée d’un outil de dissimulation d’activité a commencé à circuler dans des messages non sollicités qui visaient les clients francophones de la banque anglaise HSBC. Les destinataires de ces faux messages de HSBC France étaient prévenus de la réalisation d’opérations de paiement sur leur compte et ils étaient invités à en connaître les détails en ouvrant le fichier ZIP en pièce jointe. D’après les experts, cette archive contenait un fichier exécutable détecté en tant que downloader Upatre. Une fois activé, il télécharge et exécute Gameover qui se copie dans le répertoire Application Data avec une « balise » personnelle : un bloc bref de données binaires. Cette identifiant associe le programme malveillant à ce système et empêche son analyse dans un autre environnement et sa détection à l’aide de la méthode des sommes de contrôle.

Une fois la première étape de l’infection terminée, Gameover initialise le téléchargement de l’outil de dissimulation d’activité pertinent qui se présente sous la forme d’un pilote fonctionnant en mode noyau. Si la victime utilise une version 32 bits de Windows sans privilèges d’administrateur, le programme malveillant tente d’augmenter ses privilèges via la vulnérabilité CVE-2010-4398 bien connue et éliminée depuis longtemps. Si le correctif a été installé, Gameover tente d’obtenir l’autorisation d’accès d’administration à l’aide de l’utilisateur car la tentative de téléchargement de l’outil de dissimulation d’activité entraîne l’ouverture de la boîte de dialogue du service de contrôle des comptes utilisateur avec la requête correspondante.

L’outil de dissimulation pour la version 64 bits est plus dangereux car il est muni d’une signature numérique d’essai. Si Windows a été chargé avec la clé TESTSIGNING, le programme malveillant peut garantir le lancement de son pilote en introduisant les modifications qui s’imposent dans le chargeur du système d’exploitation à l’aide de l’utilitaire standard bcdedit.exe (éditeur de données de configuration du chargement).

L’outil de dissimulation d’activité augmente considérablement les chances de survie de Gameover et empêche le blocage de ces processus. Les experts indiquent que « l’utilisation de l’outil de dissimulation d’activité complique considérablement la suppression du programme malveillant sur l’ordinateur infecté. La durée de l’infection augmente, tout comme le volume de données accumulées sur les serveurs de commande du réseau de zombies Gameover.

D’après les données de Sophos, l’utilisation des technologies de dissimulation d’activité n’est pas une nouveauté pour ZeuS. Des versions antérieures de ce programme malveillant de type banker utilisait un outil de dissimulation d’activité en mode utilisateur pour protéger ses enregistrements dans le répertoire et la base de registres système. Toutefois, cet outil n’avait plus été utilisé à partir de la version 2 de ZeuS car il avait été jugé inefficace.

http://www.networkworld.com/news/2014/022814-gameover-malware-tougher-to-kill-279308.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *