Un DGA et l’épinglage SSL viennent enrichir le trojan bancaire Vawtrak

Les attaquants à l’origine du trojan bancaire Vawtrak ne sont pas restés les bras croisés et au cours des dernières semaines, ils ont doté le malware d’un nouvel algorithme de génération de noms de domaine (DGA) ainsi que de capacités d’épinglage SSL.

Les résultats de travaux réalisés par la société Fidelis, spécialisée en sécurité, et publiés mardi expliquent les mises à jour et fournissent une explication détaillée de la manière dont le DGA de Vawtrak crée des domaines, s’y connecte et valide leurs certificats. Les chercheurs ont étudié deux échantillons observés le 28 juillet et le 1er août.

La version la plus récente de Vawtrak intègre une détermination à deux niveaux des serveurs commandes. Le site hébergé par le DGA offre une liste de domaines utilisés en alternance pour le centre de commandes tandis que le premier domaine actif renvoie une autre liste statique.

« Pour compliquer davantage ce transfert des commandes, les développeurs ont ajouté une autre section qui, une fois décodée, présente une liste de domaines de commandes que le bot utilisera également pour la communication avec le serveur de commande » précise le rapport rédigé par Jason Reeves de chez Fidelis.

Des chercheurs de chez PhishLabs ont également découvert à la fin du mois de juillet que le malware utilisait un DGA pour identifier son serveur de commandes. Les travaux de Fidelis vont plus loin dans la recherche et décrivent comment ils ont réussi à réaliser la rétro-ingénierie de l’algorithme.

On ne sait pas très bien pourquoi les créateurs de Vawtrak ont mis tant de temps à mettre en œuvre un DGA. Il s’agit pourtant d’une technique utilisée fréquemment par les cybercriminels, surtout dans les réseaux de zombies, mais les experts de chez Fidelis avancent l’hypothèse d’une éventuelle interruption des efforts antérieurs.

« Rien ne nous permet vraiment d’expliquer pourquoi ils ont adopté un DGA maintenant, mais cela pourrait s’expliquer par des efforts antérieurs interrompus suite à la confiscation de l’infrastructure ou les effets d’un sinkhole. Il s’agirait d’une réaction logique à de telles actions menées par les autorités judiciaires et policière ou d’autres chercheurs en sécurité de l’information » a déclaré lundi Hardik Modi, Directeur des recherches sur les menaces chez Fidelis Cybersecurity, à Threatpost.

Outre le DGA, le trojan a également adopté un mécanisme de vérification ou d’épinglage de certificat SSL. D’après la firme, cette technique permet au malware de contourner d’éventuelles situations SSL d’hommes au milieu. En général, l’épinglage SSL ajoute une étape supplémentaire à la validation du certificat afin de garantir la fiabilité de la connexion.

Les chercheurs affirment que la version la plus récente de la DLL de Vawtrak possède le code pour établir une connexion HTTPS en mesure de protéger les communications avec son centre de commande. De plus, le trojan peut également vérifier le certificat qu’il reçoit du centre de commande. Extrait du rapport de Fidelis :

Il totalise l’ensemble des caractères dans Common Name, puis divise le byte par 0x1a, puis ajoute 0x61, ce qui devrait donner le 1er caractère (Figure 5). Il utilise également une clé publique tirée de l’en-tête d’injection initiale citée ci-dessus afin de vérifier le hash de la signature transmise dans le champ SubjectKeyIdentifier du certificat.

S’il est vrai que l’utilisation d’un DGA est une pratique courante dans les trojans de ce genre, la technique adoptée par Vawtrak afin de vérifier les certificats n’en est qu’à ses débuts d’après Modi.

« D’après nos observations, son utilisation est encore assez rare » d’après Hardik Modi. Il ajoute que son équipe a observé cette technique plus souvent dans des outils d’espionnage ciblés que dans la cybercriminalité au sens large.

Le fait que les cybercriminels ont modifié Vawtrak, parfois désigné sous le nom de Neverquest, pour brouiller les pistes n’est pas trop étonnant. Cela fait plusieurs années maintenant que les auteurs de ce trojan ne lésinent pas sur les moyens pour dissimuler leurs serveurs. Au mois de juin dernier, des chercheurs ont remarqué que le trojan dissimulait certains de ses serveurs sur Tor2Web pour mieux éviter les détections.

Hardik Modi indique que le trojan a été diffusé principalement via du spam malveillant, mais également par des kits d’exploitation.

« Ils réalisent peut-être des essais avant de transférer le nouvel outil dans des kits d’exploitation » a déclaré Hardik Modi.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *