Vawtrak, la poupée russe des malwares

Des chercheurs ont retiré quelques couches de Vawtrak, un Trojan Banker relativement récent si complexe qu’on le compare à une poupée russe.

Virus Bulletin a publié une analyse détaillée du malware, réalisée par Raul Alvarez, chercheur chez Fortinet.

Vawtrak organise son attaque en plusieurs étapes. Chacune d’entre elle initialise la suivante. Le premier fichier binaire exécutable invoque le deuxième, mais avant cela, il doit le décoder en invoquant un trio de fonctions API et en déchiffrant un gros bloc de données.

La couche supérieure de Vawtrak contient une copie chiffrée du binaire exécutable qui est utilisée dans la couche suivante. Il doit être transféré et déchiffré dans la mémoire virtuelle du malware" indique Raul Alvarez.

Après avoir appelé une autre fonction API, le malware crée un fichier image nommé "Diana-23.jpg" pour amener l’utilisateur à penser que cela est la seule action du fichier exécutable.

Une fois que la série de modules a été analysée et que d’autres fonctions API ont été invoquées dans la deuxième couche, le fichier exécutable mainOUT-crypted-5 est déchiffré et décompressé. A ce moment, après la décompression, le malware produit ce que Raul Alvarez a appelé la "3e poupée" de Vawtrak, un fichier exécutable, le plus simple des quatre couches.

Cette partie de Vawtrak n’est absolument pas protégée, autrement dit elle n’est pas utilisée dans le déchiffrement ou une fonction de hachage. La troisième couche du malware élimine les restrictions logicielles et tente de limiter les autorisations associées aux logiciels antivirus qui recherchent le malware.

Finalement, la 4e couche, si tout se déroule comme prévu, déchiffre les données et crée un secteur dynamique qui contient une bibliothèque dynamique .dll masquée sous l’extension .dat avec un nom de fichier aléatoire. Après le déploiement, le malware utilise deux autres fonctions API, RegCreateKeyA и RegSetValueExW, afin de maintenir l’activité du malware après le redémarrage.

Alors que le malware, décrit à la fin de l’année dernière, visait des banques japonaises, Raul Alvarez a déclaré qu’il "avait récemment élargi ses horizons" et qu’il était devenu plus complexe au cours des derniers mois.

Raul Alvarez conclut : "Les aptitudes et l’inventivité illustrées dans Vawtrak ne sont pas simples, mais elles sont concises".

En septembre, les chercheurs ont appris que Vawtrak, qui à l’époque portait le nom de Neverquest, était désormais capable d’attaquer des réseaux sociaux, des magasins et des portails de jeux. Les dernières configurations lui permettent d’intercepter les sessions de banque électronique, de modifier les données dans le trafic Internet, de décoder le chiffrement et de voler des comptes utilisateur et autres informations.

Source :        Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *