Infos

Vawtrak, la poupée russe des malwares

Des chercheurs ont retiré quelques couches de Vawtrak, un Trojan Banker relativement récent si complexe qu’on le compare à une poupée russe.

Virus Bulletin a publié une analyse détaillée du malware, réalisée par Raul Alvarez, chercheur chez Fortinet.

Vawtrak organise son attaque en plusieurs étapes. Chacune d’entre elle initialise la suivante. Le premier fichier binaire exécutable invoque le deuxième, mais avant cela, il doit le décoder en invoquant un trio de fonctions API et en déchiffrant un gros bloc de données.

La couche supérieure de Vawtrak contient une copie chiffrée du binaire exécutable qui est utilisée dans la couche suivante. Il doit être transféré et déchiffré dans la mémoire virtuelle du malware" indique Raul Alvarez.

Après avoir appelé une autre fonction API, le malware crée un fichier image nommé "Diana-23.jpg" pour amener l’utilisateur à penser que cela est la seule action du fichier exécutable.

Une fois que la série de modules a été analysée et que d’autres fonctions API ont été invoquées dans la deuxième couche, le fichier exécutable mainOUT-crypted-5 est déchiffré et décompressé. A ce moment, après la décompression, le malware produit ce que Raul Alvarez a appelé la "3e poupée" de Vawtrak, un fichier exécutable, le plus simple des quatre couches.

Cette partie de Vawtrak n’est absolument pas protégée, autrement dit elle n’est pas utilisée dans le déchiffrement ou une fonction de hachage. La troisième couche du malware élimine les restrictions logicielles et tente de limiter les autorisations associées aux logiciels antivirus qui recherchent le malware.

Finalement, la 4e couche, si tout se déroule comme prévu, déchiffre les données et crée un secteur dynamique qui contient une bibliothèque dynamique .dll masquée sous l’extension .dat avec un nom de fichier aléatoire. Après le déploiement, le malware utilise deux autres fonctions API, RegCreateKeyA и RegSetValueExW, afin de maintenir l’activité du malware après le redémarrage.

Alors que le malware, décrit à la fin de l’année dernière, visait des banques japonaises, Raul Alvarez a déclaré qu’il "avait récemment élargi ses horizons" et qu’il était devenu plus complexe au cours des derniers mois.

Raul Alvarez conclut : "Les aptitudes et l’inventivité illustrées dans Vawtrak ne sont pas simples, mais elles sont concises".

En septembre, les chercheurs ont appris que Vawtrak, qui à l’époque portait le nom de Neverquest, était désormais capable d’attaquer des réseaux sociaux, des magasins et des portails de jeux. Les dernières configurations lui permettent d’intercepter les sessions de banque électronique, de modifier les données dans le trafic Internet, de décoder le chiffrement et de voler des comptes utilisateur et autres informations.

Source :        Threatpost

Vawtrak, la poupée russe des malwares

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception