Ces dernières années, les chevaux de Troie mobiles ont remplacé activement les chevaux de Troie pour ordinateurs personnels, de sorte que l'émergence de nouveaux logiciels malveillants pour les bonnes vieilles « voitures » et leur utilisation active par les cybercriminels, bien que désagréables, restent un événement. Récemment, le centre de réponse aux incidents de sécurité des informations du CERT Group-IB, disponible XNUMXh/XNUMX et XNUMXj/XNUMX, a détecté un e-mail de phishing inhabituel qui cachait un nouveau malware PC combinant les fonctions de Keylogger et de PasswordStealer. L'attention des analystes a été attirée sur la manière dont le logiciel espion a pénétré dans la machine de l'utilisateur, à l'aide d'une messagerie vocale populaire. Ilya Pomerantsev, spécialiste de l'analyse des logiciels malveillants chez CERT Group-IB, a expliqué comment fonctionne le logiciel malveillant, pourquoi il est dangereux et a même trouvé son créateur dans le lointain Irak.
Alors, allons-y dans l'ordre. Sous couvert de pièce jointe, une telle lettre contenait une image, en cliquant sur laquelle l'utilisateur était redirigé vers le site cdn.discordapp.com, et un fichier malveillant a été téléchargé à partir de là.
Utiliser Discord, une messagerie vocale et textuelle gratuite, est assez peu conventionnel. Généralement, d’autres messageries instantanées ou réseaux sociaux sont utilisés à ces fins.
Lors d’une analyse plus fine, une famille de malware a été identifiée. Il s'est avéré qu'il s'agissait d'un nouveau venu sur le marché des logiciels malveillants : 404 Enregistreur de frappe.
La première annonce pour la vente d'un keylogger a été publiée sur forums de hack par un utilisateur sous le pseudo « 404 Coder » le 8 août.
Le domaine du magasin a été enregistré assez récemment - le 7 septembre 2019.
Comme le disent les développeurs sur le site 404projets[.]xyz, 404 est un outil conçu pour aider les entreprises à connaître les activités de leurs clients (avec leur permission) ou pour ceux qui souhaitent protéger leur binaire de l'ingénierie inverse. Pour l'avenir, disons qu'avec la dernière tâche 404 ne s'en sort certainement pas.
Nous avons décidé d'inverser l'un des fichiers et de vérifier ce qu'est « BEST SMART KEYLOGGER ».
Écosystème de logiciels malveillants
Chargeur 1 (AtillaCrypter)
Le fichier source est protégé par EaxObfuscateur et effectue un chargement en deux étapes ÀProtect de la section ressources. Lors de l'analyse d'autres échantillons trouvés sur VirusTotal, il est devenu évident que cette étape n'était pas fournie par le développeur lui-même, mais ajoutée par son client. Il a été déterminé plus tard que ce chargeur de démarrage était AtillaCrypter.
Chargeur de démarrage 2 (AtProtect)
En fait, ce chargeur fait partie intégrante du malware et, selon l’intention du développeur, devrait assumer la fonctionnalité de contre-analyse.
Cependant, dans la pratique, les mécanismes de protection sont extrêmement primitifs et nos systèmes parviennent à détecter ce malware.
Le module principal est chargé en utilisant Franchy ShellCode différentes versions. Cependant, nous n'excluons pas que d'autres options auraient pu être utilisées, par exemple RunPE.
Fichier de configuration
Consolidation dans le système
La consolidation dans le système est assurée par le bootloader ÀProtect, si l'indicateur correspondant est défini.
- Le fichier est copié le long du chemin %AppData%GFqaakZpzwm.exe.
- Le fichier est en cours de création %AppData%GFqaakWinDriv.url, lancement Zpzwm.exe.
- Dans le fil HKCULogicielMicrosoftWindowsVersion actuelleExécuter une clé de démarrage est créée WinDriv.url.
Interaction avec C&C
Chargeur AtProtect
Si l'indicateur approprié est présent, le malware peut lancer un processus caché iexplorer et suivez le lien spécifié pour informer le serveur de la réussite de l'infection.
Voleur de données
Quelle que soit la méthode utilisée, la communication réseau commence par l'obtention de l'adresse IP externe de la victime à l'aide de la ressource [http]://checkip[.]dyndns[.]org/.
Agent utilisateur : Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.2 ; .NET CLR1.0.3705 ;)
La structure générale du message est la même. En-tête présent
|——- 404 Enregistreur de frappe — {Type} ——-|Où {taper} correspond au type d’information transmise.
Voici les informations sur le système :
_______ + INFORMATIONS SUR LA VICTIME + _______
IP : {IP externe}
Nom du propriétaire : {Nom de l'ordinateur}
Nom du système d'exploitation : {Nom du système d'exploitation}
Version du système d'exploitation : {Version du système d'exploitation}
Plate-forme du système d'exploitation : {Plate-forme}
Taille de la RAM : {taille de la RAM}
______________________________
Et enfin, les données transmises.
SMTP
Le sujet de la lettre est le suivant : 404 Ko | {Type de message} | Nom du client : {Nom d'utilisateur}.
Fait intéressant, pour remettre des lettres au client 404 Enregistreur de frappe Le serveur SMTP des développeurs est utilisé.
Cela a permis d'identifier certains clients, ainsi que l'email d'un des développeurs.
Ftp
Lorsque vous utilisez cette méthode, les informations collectées sont enregistrées dans un fichier et immédiatement lues à partir de là.
La logique derrière cette action n’est pas tout à fait claire, mais elle crée un artefact supplémentaire pour l’écriture de règles comportementales.
%HOMEDRIVE%%HOMEPATH%DocumentsA{Numéro arbitraire}.txt
Pastebin
Au moment de l'analyse, cette méthode n'est utilisée que pour transférer des mots de passe volés. De plus, il n’est pas utilisé comme alternative aux deux premiers, mais en parallèle. La condition est la valeur de la constante égale à « Vavaa ». Vraisemblablement, c'est le nom du client.
L'interaction s'effectue via le protocole https via l'API pastebin... Valeur api_paste_private égal PASTE_UNLISTED, qui interdit la recherche de telles pages dans pastebin.
Algorithmes de chiffrement
Récupérer un fichier à partir de ressources
La charge utile est stockée dans les ressources du chargeur de démarrage ÀProtect sous forme d'images Bitmap. L'extraction s'effectue en plusieurs étapes :
- Un tableau d'octets est extrait de l'image. Chaque pixel est traité comme une séquence de 3 octets dans l'ordre BGR. Après extraction, les 4 premiers octets du tableau stockent la longueur du message, les suivants stockent le message lui-même.
- La clé est calculée. Pour ce faire, MD5 est calculé à partir de la valeur « ZpzwmjMJyfTNiRalKVrcSkxCN » spécifiée comme mot de passe. Le hachage résultant est écrit deux fois.
- Le décryptage est effectué à l'aide de l'algorithme AES en mode ECB.
Fonctionnalité malveillante
Downloader
Implémenté dans le chargeur de démarrage ÀProtect.
- En contactant [activelink-remplacement] L'état du serveur est demandé pour confirmer qu'il est prêt à servir le fichier. Le serveur devrait revenir "SUR".
- Le lien [télécharger le lien-remplacer] La charge utile est téléchargée.
- Avec FranchyShellcode la charge utile est injectée dans le processus [inj-remplacer].
Pendant l'analyse du domaine 404projets[.]xyz des instances supplémentaires ont été identifiées sur VirusTotal 404 Enregistreur de frappe, ainsi que plusieurs types de chargeurs.
Classiquement, ils sont divisés en deux types :
- Le téléchargement s'effectue à partir de la ressource 404projets[.]xyz.
Les données sont codées en Base64 et cryptées en AES. - Cette option se compose de plusieurs étapes et est très probablement utilisée en conjonction avec un chargeur de démarrage. ÀProtect.
- Dans la première étape, les données sont chargées à partir de pastebin et décodé à l'aide de la fonction HexVersOctet.
- Lors de la deuxième étape, la source de chargement est le 404projets[.]xyz. Cependant, les fonctions de décompression et de décodage sont similaires à celles trouvées dans DataStealer. Il était probablement initialement prévu d'implémenter la fonctionnalité du chargeur de démarrage dans le module principal.
- À ce stade, la charge utile se trouve déjà dans le manifeste de ressources sous une forme compressée. Des fonctions d'extraction similaires ont également été trouvées dans le module principal.
Des téléchargeurs ont été trouvés parmi les fichiers analysés njRat, Porte Espion et autres RAT.
Keylogger
Durée d'envoi du journal : 30 minutes.
Tous les caractères sont pris en charge. Les caractères spéciaux sont échappés. Il existe un traitement pour les touches BackSpace et Suppr. Sensible aux majuscules et minuscules.
presse-papiers
Durée d'envoi du journal : 30 minutes.
Période d'interrogation du tampon : 0,1 seconde.
Lien implémenté s'échappant.
Enregistreur d'écran
Durée d'envoi du journal : 60 minutes.
Les captures d'écran sont enregistrées dans %HOMEDRIVE%%HOMEPATH%Documents404k404pic.png.
Après avoir envoyé le dossier 404K est retiré.
Voleur de mot de passe
Les navigateurs | Clients de messagerie | Clients FTP |
---|---|---|
Chrome | Outlook | Filezilla |
Firefox | Thunderbird | |
SeaMonkey | Foxmail | |
Icedragon | ||
Lune pale | ||
Cyberfox | ||
Chrome | ||
Navigateur courageux | ||
Navigateur QQ | ||
Navigateur Iridium | ||
Navigateur Xvast | ||
Chédot | ||
360Navigateur | ||
ComodoDragon | ||
360Chrome | ||
Super Oiseau | ||
CentBrowser | ||
Navigateur fantôme | ||
Navigateur de fer | ||
Chrome | ||
Vivaldi | ||
Navigateur Slimjet | ||
Orbitum | ||
CocCoc | ||
Torche | ||
Navigateur UCB | ||
Navigateur épique | ||
Navigateur Blisk | ||
Opera |
Opposition à l'analyse dynamique
- Vérifier si un processus est en cours d'analyse
Réalisé à l'aide de la recherche de processus taskmgr, ProcessHacker, procédureexp64, procexp, procéder. Si au moins un est trouvé, le malware se ferme.
- Vérifier si vous êtes dans un environnement virtuel
Réalisé à l'aide de la recherche de processus vmtoolsd, VGAuthService, vmacthlp, VBoxService, VBoxTray. Si au moins un est trouvé, le malware se ferme.
- S'endormir pendant 5 secondes
- Démonstration de différents types de boîtes de dialogue
Peut être utilisé pour contourner certains bacs à sable.
- Contourner l'UAC
Effectué en modifiant la clé de registre EnableLUA dans les paramètres de stratégie de groupe.
- Applique l'attribut "Caché" au fichier actuel.
- Possibilité de supprimer le fichier actuel.
Fonctionnalités inactives
Lors de l'analyse du chargeur de démarrage et du module principal, des fonctions responsables de fonctionnalités supplémentaires ont été trouvées, mais elles ne sont utilisées nulle part. Cela est probablement dû au fait que le malware est encore en développement et que les fonctionnalités seront bientôt étendues.
Chargeur AtProtect
Une fonction a été trouvée qui est responsable du chargement et de l'injection dans le processus msiexec.exe module arbitraire.
Voleur de données
- Consolidation dans le système
- Fonctions de décompression et de décryptage
Il est probable que le cryptage des données lors des communications réseau sera bientôt mis en œuvre. - Arrêt des processus antivirus
zlclient | Dvp95_0 | Pavsché | avgserv9 |
égui | Moteur électrique | Pavé | avgserv9schedapp |
agent de bord | Esafe | PCCIOMON | avgemc |
npfmsg | Espwatch | PCCMAIN | ashwebsv |
olydbg | F-Agnt95 | Pccwin98 | cendrier |
Anubis | Trouvervir | Icône du mur Pcf | ashmaisv |
Wireshark | Fprot | Persfw | serveur de cendres |
avastui | F-Prot | POP3TRAP | aswUpdSv |
_Avp32 | F-Prot95 | PVIEW95 | symwsc |
vsmon | Fp-Gagner | Rav7 | norton |
mbam | Frw | Rav7win | Norton Auto-Protection |
brouilleur de clés | F-Stop | Sauver | norton_av |
_Avpcc | Iamapp | Web sécurisé | Nortonav |
_Avpm | Je suisserv | Scan32 | ccsetmgr |
Acquérir32 | Ibmasn | Scan95 | ccevtmgr |
Outpost | Ibmavsp | Scanpm | administrateur |
Anti-Trojan | Iload95 | Scanner | centre av |
ANTIVIR | Télécharger | Servi95 | moyen |
Apvxdwin | Icmon | Smc | avguard |
UNE PISTE | Icsupp95 | SERVICE SMC | avnotify |
Arrêt automatique | Supplément | Renifler | analyse AV |
Avconsol | Je fais face | Sphinx | gardegui |
Avenue32 | Iomon98 | Balayage95 | nod32krn |
Avgctrl | Jedi | SYMPROXYSVC | nod32kui |
Avkserv | Verrouillage2000 | Tbscan | clamscan |
Avnt | Lookout | Tca | palourdePlateau |
Avp | Luall | Tds2-98 | palourdeWin |
Avp32 | McAfee | Tds2-Nt | freshclam |
Avpcc | Moolive | TermiNET | Oladdin |
Avpdos32 | Bac MP | Vétérinaire95 | outil de signature |
Avpm | Analyse N32 | Vettray | w9xpopen |
Avptc32 | NAVAPSVC | Vscan40 | Fermer |
Avpupd | NAVAPW32 | Vsecomr | cmgrdian |
Avsched32 | NAVLU32 | Vshwin32 | alogserv |
AVSYNMGR | Navnt | VSstat | Mcshield |
Avwin95 | NAVRUNR | Webscanx | vshwin32 |
Avwupd32 | Navw32 | PIÈGE WEB | AVConsol |
Noird | Navwnt | Wfindv32 | vsstat |
Glace noir | NéoWatch | ZoneAlarm | avsyncmgr |
Administrateur Cfi | NISSERV | VERROUILLAGE2000 | avcmd |
Cfiaudit | Nisoum | SAUVETAGE32 | avconfig |
Cfinet | Nmain | SERVEUR LUCOM | licmgr |
Cfinet32 | Normiste | avgcc | calendrier |
Griffe95 | NORTON | avgcc | pré-mise à jour |
Griffe95cf | Numise à niveau | avgamsvr | MsMpEng |
Nettoyeur | Nvc95 | avgupsvc | MSASCui |
Cleaner3 | Outpost | moyenne | Avira.Systray |
Défwatch | Padmin | avgcc32 | |
Dvp95 | Pavillon | avgserv |
- Auto destruction
- Chargement de données à partir du manifeste de ressources spécifié
- Copier un fichier le long d'un chemin %Temp%tmpG[Date et heure actuelles en millisecondes].tmp
Fait intéressant, une fonction identique est présente dans le malware AgentTesla. - Fonctionnalité du ver
Le malware reçoit une liste de supports amovibles. Une copie du malware est créée à la racine du système de fichiers multimédia avec le nom Sys.exe. L'exécution automatique est implémentée à l'aide d'un fichier autorun.inf.
Profil de l'attaquant
Lors de l'analyse du centre de commande, il a été possible d'établir l'e-mail et le pseudo du développeur - Razer, alias Brwa, Brwa65, HiDDen PerSON, 404 Coder. Ensuite, nous avons trouvé une vidéo intéressante sur YouTube qui montre le travail avec le constructeur.
Cela a permis de retrouver le canal développeur d’origine.
Il est devenu évident qu'il avait de l'expérience dans l'écriture de cryptographes. On y trouve également des liens vers des pages sur les réseaux sociaux, ainsi que le vrai nom de l'auteur. Il s'est avéré qu'il résidait en Irak.
Voilà à quoi ressemble censément un développeur 404 Keylogger. Photo de son profil Facebook personnel.
CERT Group-IB a annoncé une nouvelle menace - 404 Keylogger - un centre de surveillance et de réponse XNUMX heures sur XNUMX pour les cybermenaces (SOC) à Bahreïn.
Source: habr.com