Evolution des malwares brésiliens

Contenu

Lire la version intégrale de l’article (en anglais)

Les malwares brésiliens évoluent chaque jour et deviennent à chaque fois un peu plus professionnels. Nous voulons profiter de cet article pour vous montrer l’évolution des techniques adoptées par les cybercriminels brésiliens qui utilisent des outils de plus en plus complexes. Une analyse globale de la situation permet de voir qu’ils améliorent leurs techniques pour augmenter la durée de vie du malware ainsi que les bénéfices.

Il y a quelques temps de cela, la détection et l’analyse des malwares brésiliens étaient des opérations qui pouvaient être réalisées assez rapidement étant donné l’absence d’obfuscation, de techniques de lutte contre le débogage, de chiffrement, de communications sécurisées, etc. Le code était généralement programmé en Delphi et Visual Basic 6 avec beaucoup de grosses images à l’intérieur, ce qui donnait un fichier lourd et une gestion médiocre des erreurs qui provoquait le crash fréquent du processus.

De nos jours, le scénario a changé : les attaquants investissent du temps et de l’argent pour développer des solutions qui masquent complètement la charge utile derrière des couches d’obfuscation et de protection du code. Ils utilisent toujours Delphi et VB, mais ils ont également adopté d’autres langages comme .NET. La qualité du code est nettement supérieure, ce qui nous montre clairement qu’ils ont atteint un autre niveau.

Ce que nous trouvions à l’époque

Enregistreurs de frappes

Au début, les premiers échantillons utilisés pour voler les informations bancaires des victimes étaient de simples enregistreurs de frappe qui, pour la plupart, utilisaient un code accessible au public, mais légèrement modifié pour enregistrer uniquement des situations spécifiques. Cela suffisait à l’époque car les sites de banque électronique n’avaient adopté aucune protection contre cette menace.

Trojan de phishing

Les enregistreurs de frappes ont été abandonnés après que les banques ont adopté le clavier virtuel dans leur système. Pour déjouer ces protections, les cybercriminels brésiliens ont commencé à développer des malwares capables d’enregistrer les actions de la souris ainsi que des trojans de phishing. A l’époque, le malware n’utilisait aucun type de chiffrement ou d’encodage. Toutes les chaînes apparaissaient en clair, ce qui simplifiait l’analyse.

Hôtes

Afin de pouvoir voler les informations sans permettre d’identifier facilement un trojan de phishing, les cybercriminels ont commencé à rediriger les utilisateurs vers des pages malveillantes en introduisant des modifications dans le fichier host afin de résoudre les noms de domaine de banque en serveurs codés en dur. Ainsi, après l’infection, cela serait plus transparent pour l’utilisateur, ce qui augmenterait les chances d’une attaque réussie.

Anti-rootkit

A ce stade, les individus malintentionnés ont compris que les solutions de lutte contre les malwares et les plug-ins de sécurité pour la banque électronique compliquaient leur travail. Ils ont alors concentré leurs efforts sur l’élimination des solutions de sécurité avant l’exécution des charges utiles et ce, dans le but d’augmenter les chances d’une exécution réussie et de maintenir le malware sur la machine infectée le plus longtemps possible.

Chargeur d’amorçage malveillant

Après avoir adopté les anti-rootkits, les cybercriminels brésiliens ont creusé davantage et ils ont développé leurs propres chargeurs d’amorçage, conçus exclusivement pour éliminer les solutions de sécurité de l’ordinateur de la victime. Le downloader se charge d’installer les fichiers malveillants, puis de redémarrer l’ordinateur. Après le redémarrage, le chargeur d’amorçage malveillant peut éliminer les fichiers désirés du système de fichiers.

Ce que nous voyons aujourd’hui

Automatisation

La majorité des banques utilisait l’identification des machines pour empêcher les tentatives non autorisées de réalisation d’opérations à l’aide des informations volées. Pour contourner cet obstacle, les individus malintentionnés ont commencé à réaliser les opérations malveillantes depuis l’ordinateur infecté en interagissant avec le contenu de la page via Internet Explorer Automation (connu auparavant sous le nom d’OLE Automation).

Les premiers échantillons qui ont utilisé ce type d’attaque étaient des BHO (Browser Helper Object) capables de détecter un virement bancaire afin de substituer le compte du bénéficiaire pour que l’argent arrive sur le compte de l’attaquant et non pas sur celui du bénéficiaire original. Plus tard, une méthode similaire a été utilisée largement dans les attaques Boleto où l’automatisation permettait d’obtenir le code-barres saisi et de le remplacer par un code-barres malveillant.

S’agissant des échantillons que nous avons pu trouver, l’obfuscation des chaînes, la détection des outils de débogage, la détection de machines virtuelles et cette méthode signifient qu’ils sont plus difficiles à détecter que les autres attaques qui impliquent des trojans de phishing et des hôtes.

Obfuscation du code et RunPE

Désireux de trouver de nouvelles manières d’éviter la détection, les cybercriminels brésiliens ont commencé à employer l’obfuscation afin de masquer les parties du code chargées d’exécuter les opérations principales. Il était évident qu’ils avaient évolué du code de débutant vers des développements plus professionnels et nous avons compris qu’il était temps d’actualiser le processus d’analyse des malwares brésiliens. Nous sommes convaincus que cette évolution est le fruit de contacts et d’échanges de savoirs avec d’autres auteurs de malwares, originaires principalement d’Europe de l’Est comme nous l’avions décrit dans cet article.

Chiffrement AutoIt

AutoIt est désormais souvent utilisé comme module de téléchargement et de chiffrement de la charge utile finale en vue d’éviter la détection. Une fois compilé, le script AutoIt est chiffré et intégré au fichier binaire généré, ce qui impose l’extraction du script original avant de pouvoir analyser son code.

A la recherche d’une meilleure manière de dissimuler la charge utile finale, les cybercriminels brésiliens ont développé un nouveau chiffrement à l’aide du langage AutoIt dans le cadre duquel la charge utile est déchiffrée à l’aide d’une technique RunPE.

sh_1_fr

Flux d’exécution du chiffrement AutoIt

Le chiffrement utilise deux méthodes différentes pour stocker les fichiers chiffrés : la première consiste à utiliser la fonction FileInstall qui existe déjà dans AutoIt et l’autre consiste à intégrer le fichier à la fin du fichier binaire.

L’utilisation d’AutoIt dans le développement de malwares n’est pas une nouveauté, mais au milieu de l’année 2014, nous avons été témoins d’une vague d’attaques au Brésil qui utilisaient AutoIt.

Base de données MSIL

Parmi les types de malwares qui sont apparus récemment, il y a des malwares développés en .NET au lieu de Visual Basic 6.0 et Delphi, ce qui correspond à une tendance que nous avions observée à l’échelle mondiale. Il n’est guère difficile de trouver un downloader programmé en .NET.

Chiffrement MSIL

Les individus malintentionnés ont suivi les méthodes utilisées pour le chiffrement AutoIt afin de développer un autre chiffrement, cette fois-ci à l’aide du langage .NET. Le processus d’extraction du véritable fichier exécutable est presque identique à celui utilisé dans le chiffrement AutoIt, si ce n’est qu’il compte sur un module intermédiaire responsable de l’extraction de la charge utile finale.

Si on examine le module principal, on voit du code .NET et la fonction principale de ce module est l’extraction et le chargement d’une DLL intégrée.

sh_2_fr

Flux d’exécution du chiffrement .NET

RAT

Dans le but de réduire les pertes liées aux cyberattaques, les banques ont introduit l’authentification à deux facteurs à l’aide d’un token physique et d’un token par SMS pour les transactions bancaires en ligne en plus des solutions déjà en place comme l’identification de la machine. Pour contourner cette difficulté, les cybercriminels ont mis au point un outil d’administration à distance (RAT) spécialement conçu pour solliciter les informations requises pour traiter les transactions bancaires en ligne.

sh_3_fr

Flux d’exécution du RAT

Le module de surveillance du navigateur surveille le navigateur de la victime pour voir si l’utilisateur essaye d’accéder à une des banques ciblées Le client RAT se connecte au serveur afin de signaler à l’attaquant qu’une nouvelle victime accède à un système de banque électronique. Il est alors possible de réaliser l’attaque en temps réel. Quand l’utilisateur est déjà connecté, l’attaquant peut voir l’écran de l’utilisateur, le verrouiller et contrôler l’exécution ainsi que demander les informations spécifiques qui l’aideront à voler de l’argent du compte.

Ransomware

Les cybercriminels n’utilisent pas uniquement des malwares bancaires. Ils explorent également d’autres types d’attaques à l’aide de ransomware. Il y a quelques années, nous avions détecté TorLocker dont des détails à l’intérieur du code malveillant laissaient croire que le développeur était originaire du Brésil.

Il y a quelques mois, nous avons trouvé un autre ransomware, développé au départ du code source de Hidden Tear et modifié pour cibler des utilisateurs brésiliens. Il se distinguait ainsi du programme initiale qui ne ciblait que des utilisateurs anglophones ou japonophones.

Pourquoi évoluent-ils ?

Nous disposons d’un volume suffisant de preuves pour affirmer que les criminels brésiliens coopèrent avec des gangs d’Europe de l’Est impliqués dans les campagnes de ZeuS, SpyEye ou d’autres malwares créés dans la région. Cette coopération a un impact direct sur la qualité et le niveau de la menace posée par les malwares brésiliens locaux car les auteurs introduisent de nouvelles techniques et copient certaines des fonctions présentes dans des malwares originaires d’Europe de l’Est. Les cybercriminels brésiliens développent non seulement la qualité de leur code, mais ils utilisent également l’infrastructure cybercriminelle étrangère.

Nous avions pu voir les premiers signes de ce « partenariat » dans le développement d’un malware qui utilise des scripts PAC malveillants. Cette technique avait été très exploitée dans les malwares brésiliens depuis 2011 et elle a été adoptée par la suite par le trojan bancaire russe Capper. Cette coopération s’est poursuivie lorsque les cybercriminels brésiliens ont commencé à utiliser l’infrastructure de trojans bancaires d’Europe de l’Est : Trojan-Downloader.Win32.Crishi fut le premier à utiliser des domaines DGA hébergés par des sociétés d’hébergement bulletproof en Ukraine. Et le malware Boleto avait adopté l’utilisation massive de domaines fast-flux dans le but d’éviter la mise hors service des centres de commande : ce fut le cas avec les domaines « bagaça » (bagasse en portugais), enregistrés via des services anonymes pour héberger du crimeware et du matériel boleto et qui résolvaient différentes adresses IP pour chaque requête.

malware_evo_fr_4

Domaines « bagaça » : fast-flux et bulletproof depuis l’Europe de l’Est

Parmi les autres indicateurs de la coopération, il y a la présence constante de cybercriminels brésiliens sur des forums clandestins de Russie ou d’Europe de l’Est. Il n’est pas rare de retrouver des criminels brésiliens sur des forums clandestins russes où ils recherchent des échantillons, achètent de nouveaux crimewares ou malwares pour DAB/terminal de point de vente ou négocient et proposent leurs services. Les résultats de cette coopération se manifestent dans le développement des nouvelles techniques adoptées par les malwares brésiliens.

malware_evo_fr_5

Auteur brésilien du malware TorLocker en négociation sur un forum clandestin russe

Ces faits montrent comment les cybercriminels brésiliens adoptent de nouvelles techniques suite à la coopération avec leurs homologues d’Europe de l’Est. Nous pensons qu’il s’agit seulement de la partie visible de l’iceberg car ce type d’échange va avoir tendance à augmenter au fil des ans alors que la criminalité brésilienne se développe et que les cybercriminels recherchent de nouvelles manières d’attaquer des particuliers et des entreprises.

Conclusion

Le visage de la cybercriminalité a considérablement changé au cours des dernières années. Elle est passé des simples enregistreurs de frappes développés à partir de codes sources accessibles au public aux RAT capables d’exécuter une attaque complète à l’aide de l’ordinateur de la victime.

Les malwares qui affichaient une fenêtre de phishing dès qu’ils avaient été activés sont désormais complètement réactifs et attendent une session valide avant de se mettre au travail.

Cela signifie que les cybercriminels investissent beaucoup plus d’argent et de temps pour développer leur code malveillant. Ils améliorent les techniques de lutte contre le débogage, ce qui permet aux malwares de rester invisibles pendant plus longtemps.

Comme nous le savons, ces cybercriminels sont en contact avec des homologues d’Europe de l’Est, principalement des Russes, avec qui ils échangent des informations, des codes sources de malware et des services qui seront utilisés dans des attaques au Brésil. Nous voyons que de nombreuses attaques organisées au Brésil ont d’abord été menées en Russie, mais nous observons également des migrations de techniques depuis le Brésil vers la Russie.

Sur la base de ces éléments, nous pouvons nous attendre à trouver des malwares brésiliens avec des techniques améliorées d’obfuscation du code, des astuces de lutte contre le débogage, des algorithmes de chiffrement et des communications sécurisées, ce qui va compliquer énormément notre travail.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *