Un trojan avec RAT créé par des admirateurs de Tom et Jerry

Des collaborateurs de la société Forcepoint spécialisée en sécurité de l’information ont identifié un trojan avec fonction d’outil d’administration à distance (RAT) en circulation, très limitée, depuis au moins six mois et capable d’éviter la détection.

D’après les experts, ce malware sous Windows baptisé Felismus possède une architecture modulaire et il a été programmé par des professionnels. Ces fonctions ne présentent aucune surprise pour les trojans de ce type : Felismus est capable de télécharger et de charger des fichiers, de les exécuter, de se mettre à jour et d’exécuter des commandes Shell.

Le point le plus marquant sont les efforts fournis par les créateurs du malware pour protéger ce dernier le plus possible contre l’analyse et dissimuler les communications de fonctionnement. Les essais ont confirmé que Felismus est en mesure d’identifier de nombreux logiciels antivirus et de déjouer la détection. La protection du code exécutable et des DLL contre l’analyse et l’ingénierie inverse est robuste, tandis que la majorité des messages échangés entre le trojan et le centre de commandes est chiffrée à deux reprises par des clés différentes.

Les premiers exemplaires de Felismus qui ont été analysés se dissimulaient sous AdobeCMS.exe. Au moment de cette découverte, ces imitations n’étaient détectées que par 9 antivirus sur les 60 que compte la collection VirusTotal. A l’heure actuelle, un peu plus de la moitié d’entre eux les identifie comme des éléments malveillants.

Une fois exécuté, chacun de ces échantillons créait une fenêtre invisible et enregistrait pour celle-ci une fonction WindowProc afin de garantir les principales actions malveillantes : téléchargement d’un fichier depuis un serveur distant, création d’un fichier texte sur l’ordinateur local, exécution d’un fichier, exécution de commandes shell et enregistrement des résultats sur le disque, téléchargement des résultats de l’exécution de cmd.exe antérieur sur le serveur distant. La liste des processus antivirus surveillés par la version testée de Felismus contenait 45 entrées.

De nombreux identifiants internes utilisés par le trojan (ID de la victime, ID du module, clé de chiffrement) sont créés sur la base de hash MD5 d’autres composants. Une seule clé de chiffrement lisible par l’homme a été identifiée : Tom&Jerry@14here ; elle a inspiré les experts pour le nom du trojan : felis et mus sont deux noms latins qui signifient  » chat  » et  » souris  » (en tant que genre). Pour chiffrer les communications avec le centre de commande, Felismus utilise au moins trois méthodes de chiffrement en fonction du type de message. L’infrastructure de commande du malware est active et, selon toute vraisemblance, son entretien est complexe.

Plusieurs domaines associés à cette menace renvoient une fausse page WordPress.org de 2013 qui contient de nombreuses données erronées, dont de faux numéros de téléphone à Honk Kong et une adresse postale inexistante. D’après les données de Forcepoint, les adresses électroniques de la personne qui a enregistré les domaines ne sont plus utilisées nulle part en ligne.

Lors des essais, l’échantillon a exécuté un volume réduit de fonctions et n’a laissé que quelques enregistrements uniques dans le journal système. D’après les experts, deux raisons pourraient expliquer ceci : soit la cybercampagne est actuellement en repos, soit le comportement de cet échantillon dépend des particularités de l’ordinateur infecté. Les chercheurs ont également remarqué que le serveur de commande de Felismus bloque une des IP sortantes de leur entreprise.

Les objectifs des attaquants ne sont pas clairs pour l’instant. Le nom de trois des cinq domaines associés à l’adresse IP du serveur de commande sont en rapport avec des services financiers. Aucun signe évident de liens entre Felismus et des campagnes APT connues n’a été détecté. Le nom inhabituel d’un des dossiers (datas) et la faute de frappe dans le nom d’une fonction (GetCurrtenUserName) laisseraient supposer que l’anglais n’est pas la langue maternelle de l’auteur du trojan. Tout indique que les échantillons analysés par Forcepoint ont été compilés à l’aide de l’outil open source TDM-GCC dont la version a été diffusée en décembre 2014.

http://www.securityweek.com/modular-felismus-rat-emerges

Un trojan avec RAT créé par des admirateurs de Tom et Jerry

Des chercheurs de chez Forcepoint ont identifié le trojan Felismus avec fonction d’outil d’administration à distance qui est en circulation ponctuelle depuis au moins six mois et qui échappe habilement aux détections.

Le malware modulaire sous Windows circule ponctuellement depuis au moins six mois et est capable d’échapper habilement aux détections.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *