Un logiciel espion de plus dissimulé dans une image

Les auteurs de virus ne lésinent pas sur les moyens lorsqu’il s’agit de protéger une campagne malveillante et la maintenir à l’écart du regard des outils de détection et des chercheurs en sécurité. Comme l’illustre une analyse réalisée par Dell SecureWorks, l’organisation criminelle à l’origine de Stegoloader a décidé d’utiliser la stéganographie pour protéger son logiciel espion contre la détection. L’organisation utilise un module de déploiement spécialisé qui, une fois l’ordinateur infecté, télécharge un fichier PNG depuis un site légitime. Ce fichier contient le malware.

La stéganographie est utilisée normalement pour dissimuler des informations dans d’autres message ou dans une image. Elle permet aux auteurs de virus de dissimuler le code exécutable dans un fichier d’image ; dans ce cas, l’extraction et l’exécution du code ont lieu uniquement après une série de vérifications sur la sécurité de l’environnement d’exécution. Stegoloader n’est pas le seul à utiliser la stéganographie. Cette technique a été adoptée par d’autres familles de malwares, dont des espions utilisés dans les campagnes APT MiniDuke, le rootkit Alueron et le downloader Lurk auquel SecureWorks avait consacré une de ses publications l’année dernière.

Stegoloader cherche principalement à voler des informations, toutefois SecureWorks ne possède aucune donnée relative à son utilisation dans des attaques ciblées, même si les experts n’excluent pas une telle possibilité. A l’heure actuelle, le malware a fait des victimes dans le secteur de la santé, dans des institutions académiques et des entreprises. Aucune infection via code d’exploitation ou diffusion ciblée n’a été enregistrée. Les chercheurs supposent que les utilisateurs téléchargent le logiciel espions depuis des sites tiers avec des logiciels piratés ; ce mode de diffusion de Stegoloader n’est pas nouveau.

Pierre-Marc Bureau, spécialiste en chef des questions de sécurité de l’information chez SecureWorks, a déclaré : « le seul vecteur d’infection que je peux confirmer sont les téléchargements de logiciels piratés. Je suppose que dès que les attaquants ont établi leur présence dans un réseau qui les intéresse, ils commencent à diffuser des modules supplémentaires pour élargir l’accès, mais je n’ai encore jamais vu un tel module ».

Stegoloader vole d’abord les informations relatives au système et charge d’autres modules qui permettent d’accéder aux documents ouverts récemment, aux listes des applications installées. Ces modules permettent également de voler les enregistrements du journal du navigateur, les fichiers d’installation pour la plateforme de développement et d’analyse IDA ou de télécharger le voleur de mots de passe Pony.

« Avant de déployer d’autres modules, le malware vérifie s’il n’est pas exécuté dans un environnement d’analyse » explique SecureWorks. « Ainsi, le module de déploiement surveille le déplacement du pointeur de la souris en évoquant la fonction GetCursorPos à plusieurs reprises. Si le pointeur bouge tout le temps ou s’il reste immobile, le malware arrête de fonctionner et ne provoque aucune activité malveillante ».

Les chercheurs expliquent également que pour « ralentir l’analyse statique, la majorité des lignes du code binaire est construite dans la pile de l’application avant l’utilisation. Cette technique standard pour les auteurs de virus garantit l’absence dans le corps du malware de lignes enregistrées en texte lisible. Les lignes sont produites dynamiquement, ce qui complique la détection et l’analyse ».

Le module de déploiement enregistre les processus en cours et s’il découvre une des vingtaines de lignes associées à des outils d’analyse tels que Wireshark, Fiddler, etc. et intégrées aux code, il annule l’exécution de la fonction principale. Si aucune mécanisme de protection n’est détecté, le malware établit une communication avec le serveur de commande, chiffre son message et télécharge le fichier PNG contenant le code malveillant.

Les experts de SecureWorks explique que « le flux de données extraits est déchiffré à l’aide d’un algorithme RC4 et d’une clé reprise dans le code. Ni l’image PNG, ni le code déchiffré ne sont enregistrés sur le disque, ce qui complique la détection du malware à l’aide de la méthode traditionnelle qui repose sur des signatures. Les échantillons analysés utilisaient différentes URL pour le téléchargement de l’image et différentes clés RC4 ».

Après le lancement du module principal qui existe uniquement dans la mémoire vive, d’après SecureWorks, les commandes transmises par le serveur de commande sont exécutées, pour autant que l’ordinateur infecté présente un intérêt pour les attaquants. Parmi les commandes disponibles, citons l’annulation et l’interruption de l’exécution des commandes, l’envoi d’informations aux systèmes, l’envoi du journal de Firefox/Chrome/Internet Explorer ainsi que l’exécution de code shell.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *