Ces dernières années, les chevaux de Troie mobiles ont activement supplanté les chevaux de Troie pour les ordinateurs personnels, de sorte que l'émergence de nouveaux logiciels malveillants sous les bonnes vieilles «voitures» et leur utilisation active par les cybercriminels, bien que désagréable, mais toujours un événement. Récemment, le centre de réponse 24h / 24 du CERT Group-IB pour les incidents de sécurité de l'information a enregistré une liste de phishing inhabituelle, qui a caché un nouveau malware pour le PC, combinant les fonctions de Keylogger et PasswordStealer. L'attention des analystes a été attirée par la façon dont les logiciels espions ont pénétré sur la machine de l'utilisateur - en utilisant le messager vocal populaire.
Ilya Pomerantsev , experte en analyse de logiciels malveillants au CERT Group-IB, a expliqué comment fonctionne le logiciel malveillant, pourquoi il est dangereux et a même trouvé son créateur - dans un lointain Irak.
Alors, allons-y dans l'ordre. Sous le couvert d'une pièce jointe, une telle lettre contenait une image, lorsque l'utilisateur
cliquait dessus, l'utilisateur se
rendait sur
cdn.discordapp.com et un fichier malveillant a été téléchargé à partir de là.
L'utilisation de Discord, un messager vocal et texte gratuit, est assez inhabituel. Habituellement, d'autres messagers ou réseaux sociaux sont utilisés à ces fins.
Dans une analyse plus détaillée, la famille HPE a été établie. Il s'est avéré être un nouveau venu sur le marché des logiciels malveillants -
404 Keylogger .
La première annonce de vente de keylogger a été publiée sur les
hackforums par un utilisateur avec le surnom de "404 Coder" le 8 août.
Le domaine du magasin a été enregistré récemment, le 7 septembre 2019.
Comme les développeurs du site
404projects [.] Xyz ,
404 l' assurent, il s'agit d'un outil créé pour aider les entreprises à connaître les actions de leurs clients (avec leur permission) ou dont ont besoin ceux qui souhaitent protéger leur fichier binaire de l'ingénierie inverse. Pour l'avenir, disons que
404 ne peut tout simplement pas faire face à la dernière tâche.
Nous avons décidé de rediriger l'un des fichiers et de vérifier ce qu'est le "MEILLEUR SMART KEYLOGGER".
Écosystème HPE
Bootloader 1 (AtillaCrypter)
Le fichier source est protégé par
EaxObfuscator et effectue un téléchargement en deux étapes d'
AtProtect à partir de la section des ressources. Dans l'analyse des autres échantillons trouvés sur VirusTotal, il est devenu clair que cette étape n'a pas été fournie par le développeur lui-même, mais a été ajoutée par son client. Il a en outre été établi que ce chargeur de démarrage est AtillaCrypter.
Bootloader 2 (AtProtect)
En fait, ce chargeur de démarrage fait partie intégrante des logiciels malveillants et, selon le développeur, il devrait prendre en charge les fonctionnalités pour contrer l'analyse.
Cependant, dans la pratique, les mécanismes de protection sont extrêmement primitifs et nos systèmes détectent avec succès ce malware.
Le chargement du module principal s'effectue à l'aide de différentes versions de
Franchy ShellCode . Cependant, nous n'excluons pas que d'autres options puissent être utilisées, par exemple,
RunPE .
Fichier de configuration
Broche système
La fixation au système est assurée par le chargeur
AtProtect , si l'indicateur correspondant est défini.
- Le fichier est copié le long du chemin % AppData% \\ GFqaak \\ Zpzwm.exe .
- Le fichier % AppData% \\ GFqaak \\ WinDriv.url est créé et démarre Zpzwm.exe .
- Dans la branche HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run , une clé pour démarrer WinDriv.url est créée .
Interaction avec C&C
AtProtect Loader
Avec l'indicateur approprié, les logiciels malveillants peuvent démarrer le processus
iexplorer caché et suivre le lien spécifié pour informer le serveur d'une infection réussie.
DataStealer
Quelle que soit la méthode utilisée, l'interaction avec le réseau commence par l'obtention de l'adresse IP externe de la victime à l'aide de
[http]: // checkip [.] Dyndns [.] Org / resource.
User-Agent: Mozilla / 4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR1.0.3705;)
La structure générale du message est la même. En-tête actuel
| ------- Enregistreur de frappe 404 - {Type} ------- | , où
{type} correspond au type d'informations transmises.
Voici les informations système:
_______ + INFO VICTIME + _______
IP: {IP externe}
Nom du propriétaire: {Nom de l'ordinateur}
Nom du système d'exploitation: {Nom du système d'exploitation}
Version du système d'exploitation: {Version du système d'exploitation}
OS PlatForm: {Plate-forme}
Taille RAM: {Taille RAM}
______________________________
Et enfin, les données transmises.
SMTP
Le sujet de la lettre est le suivant:
404 K | {Type de message} | Nom du client: {Username} .
Fait intéressant, le serveur SMTP des développeurs est utilisé pour envoyer des lettres au client
404 Keylogger .
Cela nous a permis d'identifier certains clients, ainsi que le mail d'un des développeurs.
FTP
Lorsque vous utilisez cette méthode, les informations collectées sont stockées dans un fichier et lues immédiatement.
La logique de cette action n'est pas entièrement claire, mais elle crée un artefact supplémentaire pour l'écriture de règles de comportement.
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ A {numéro arbitraire} .txtPastebin
Au moment de l'analyse, cette méthode n'est utilisée que pour transférer des mots de passe volés. De plus, il n'est pas utilisé comme alternative aux deux premiers, mais en parallèle. La condition est une valeur constante égale à "Vavaa". Il s'agit du nom du client.
L'interaction a lieu via le protocole https via l'API
pastebin . La valeur
api_paste_private est
PASTE_UNLISTED , ce qui interdit la recherche de ces pages dans
pastebin .
Algorithmes de chiffrement
Extraire le fichier des ressources
La charge utile est stockée dans les ressources du chargeur
AtProtect sous forme d'images bitmap. L'extraction se fait en plusieurs étapes:
- Un tableau d'octets est extrait de l'image. Chaque pixel est traité comme une séquence de 3 octets dans l'ordre BGR. Après l'extraction, les 4 premiers octets du tableau stockent la longueur du message, le suivant - le message lui-même.
- La clé est calculée. Pour ce faire, MD5 est calculé à partir de la valeur "ZpzwmjMJyfTNiRalKVrcSkxCN" spécifiée comme mot de passe. Le hachage résultant est écrit deux fois.
- Le déchiffrement est effectué par l'algorithme AES en mode ECB.
Fonctionnalité malveillante
Downloader
Implémenté dans le
chargeur de démarrage
AtProtect .
- En contactant [activelink-repalce], l'état du serveur est demandé pour être prêt à transmettre le fichier. Le serveur doit retourner «ON» .
- Utilisez le lien [downloadlink-replace] pour télécharger la charge utile.
- FranchyShellcode injecte la charge utile dans le processus [inj-replace] .
Une analyse du domaine
404projects [.] Xyz sur VirusTotal a révélé des instances supplémentaires de
404 Keylogger , ainsi que plusieurs types de téléchargeurs.
Classiquement, ils sont divisés en deux types:
- Le téléchargement est effectué à partir de la ressource 404projects [.] Xyz .
Les données sont encodées en Base64 et cryptées AES.
- Cette option comprend plusieurs étapes et est très probablement utilisée conjointement avec le chargeur AtProtect .
- À la première étape, les données sont téléchargées depuis pastebin et décodées à l'aide de la fonction HexToByte .
- Dans la deuxième étape, 404projets [.] Xyz lui-même sert de source de chargement. Les fonctions de décompression et de décodage sont similaires à celles trouvées dans DataStealer. Il était probablement prévu à l'origine d'implémenter la fonctionnalité de chargeur de démarrage dans le module principal.
- À ce stade, la charge utile est déjà dans le manifeste de ressources sous une forme compressée. Des fonctions d'extraction similaires ont également été trouvées dans le module principal.
Parmi les fichiers analysés se trouvaient des chargeurs
njRat ,
SpyGate et autres RAT.
Enregistreur de frappe
Période d'envoi du journal: 30 minutes.
Tous les caractères sont pris en charge. Les caractères spéciaux sont échappés. Il y a un traitement des clés BackSpace et Delete. Respecte la casse.
Clipboardlogger
Période d'envoi du journal: 30 minutes.
Période d'interrogation du tampon: 0,1 seconde.
Liens d'échappement implémentés.
Enregistreur d'écran
Période d'envoi du journal: 60 minutes.
Les captures d'écran sont enregistrées dans
% HOMEDRIVE %% HOMEPATH% \\ Documents \\ 404k \\ 404pic.png .
Après l'envoi, le dossier
404k est supprimé.
PasswordStealer
Contrer l'analyse dynamique
- Vérification du processus en cours d'analyse
Il est effectué en recherchant les processus taskmgr , ProcessHacker , procexp64 , procexp , procmon . Si au moins un est trouvé, le malware se ferme. - Vérifiez que vous êtes dans un environnement virtuel
Il est effectué en recherchant les processus vmtoolsd , VGAuthService , vmacthlp , VBoxService , VBoxTray . Si au moins un est trouvé, le malware se ferme. - S'endormir pendant 5 secondes
- Démonstration de différents types de boîtes de dialogue
Il peut être utilisé pour contourner certains bacs à sable. - Contournement UAC
Cela se fait en modifiant la clé de Registre EnableLUA dans les paramètres de stratégie de groupe. - Application de l'attribut Secret au fichier actuel.
- Possibilité de supprimer le fichier actuel.
Fonctionnalités inactives
Lors de l'analyse du chargeur de démarrage et du module principal, les fonctions responsables des fonctionnalités supplémentaires ont été trouvées, mais elles ne sont utilisées nulle part. Cela est probablement dû au fait que le malware est toujours en cours de développement, et bientôt la fonctionnalité sera étendue.
AtProtect Loader
Une fonction a été trouvée qui était responsable du chargement et de l'injection d'un module arbitraire dans le processus
msiexec.exe .
DataStealer
- Broche système
- Fonctions de décompression et de décryptage
Probablement, le cryptage des données lors de l'interaction avec le réseau sera bientôt implémenté.
- Fin des processus antivirus
- Auto-destruction
- Chargement des données à partir du manifeste de ressources spécifié
- Copie du fichier le long du chemin % Temp% \\ tmpG \\ [Date et heure actuelles en millisecondes] .tmp
Fait intéressant, une fonction identique est présente dans les logiciels malveillants AgentTesla.
- Fonctionnalité de ver
Les logiciels malveillants reçoivent une liste de supports amovibles. Une copie du malware est créée à la racine du système de fichiers multimédia sous le nom Sys.exe . Le démarrage automatique est implémenté à l'aide du fichier autorun.inf .
Profil d'intrus
Au cours de l'analyse du centre de commande, il a été possible d'établir le courrier et le surnom du développeur - Razer, alias Brwa, Brwa65, HiDDen PerSOn, 404 Coder. Puis une curieuse vidéo sur YouTube a été trouvée, qui montre le travail avec le constructeur.
Cela nous a permis de trouver la chaîne de développeur d'origine.
Il est devenu clair qu'il avait de l'expérience dans l'écriture de crypteurs. Il y a aussi des liens vers des pages sur les réseaux sociaux, ainsi que le vrai nom de l'auteur. Il s'est avéré être un résident de l'Irak.
C'est à cela que le développeur 404 Keylogger ressemble. Photos de son profil Facebook personnel.
Le CERT Group-IB annonce une nouvelle menace - 404 Keylogger, un centre de surveillance et de réponse (SOC) aux cybermenaces 24 heures sur 24 à Bahreïn.