Les développeurs du Trojan Fobber défient les analystes en sécurité

Les développeurs d’un malware entreprennent tout ce qui est en leur pouvoir pour compliquer la tâche des chercheurs en sécurité à l’aide de différentes méthodes d’obfuscation et de chiffrement des communications et de blocs de code. D’après The Register, le nouveau Trojan bancaire Fobber illustre parfaitement cette nouvelle approche.

Fobber repose sur la deuxième version du célèbre malware Tinba et se diffuse via le kit d’exploitation HanJuan. Jerome Segura, chercheur chez Malwarebytes, a déclaré que les auteurs du Trojan avaient chiffré le canal de communication avec les serveurs de commande, ainsi que chaque fonction dans le code, ce qui compliquait l’ingénierie à rebours.

« Les échantillons que nous avons observé tentent toujours d’ouvrir des clés de registre aléatoire, puis le malware exécute une longue série de sauts dans le but de créer un ensemble de « galeries » dont l’étude ralentit le travail des experts » écrit Jerome Segura. « Le fichier binaire téléchargé que nous avons baptisé Fobber est capable de voler des données d’identification et résiste très bien aux tentatives de suppression car il se met à jour en permanence, à l’instar des serveurs de commande. »

« A la différence d’une application Windows normale, Fobber à l’habitude de passer d’une application à l’autre » ajoute Jerome Segura.

Il indique également que les auteurs du malware prennent la température avant d’organiser une diffusion de plus grande envergure. Son analyse du point de vue « white hat » fâche les programmeurs malveillants prudents.

Ce malware est diffusé via une campagne de publicités malveillantes, ce qui ne cadre pas avec l’utilisation du kit d’exploitation masqué HanJuan, resté dans l’ombre jusque la fin de l’année dernière et qui contient normalement des attaques ciblées ou des codes d’exploitation 0jour.

L’autre anomalie se situe au niveau de l’hébergement de HanJuan sur un site compromis Joomla! Jerome Segura a exploité cet élément pour demander à l’hébergeur d’enquêter davantage sur l’incident.

« Chaque cas de découverte de HanJuan est intéressant car c’est un événement rare. En général, le kit d’exploitation attaque uniquement les applications qui garantissent le meilleur rendement de l’investissement : Internet Explorer et [Adobe] Flash Player » explique Jerome Segura.

De plus, Fobber tente de placer un autre obstacle sur la voie de l’analyse en évitant les méthodes traditionnelles d’observation des processus. Au lieu de cela, il crée ses propres sommes de contrôle calculées au départ des noms des processus Windows, dont Chrome, Internet Explorer et Firefox qu’il compare ensuite aux sommes de contrôle définies des processus.

Source: The Register

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *