Annonce du 07. mai 2015

Dissection de “Kraken”

Analyse du malware Kraken : code basique dans une attaque ciblée

Les experts du G DATA Security Labs livrent l’analyse du malware Kraken, un code utilisé en janvier 2015 lors d’une attaque ciblée visant une multinationale basée aux Émirats Arabes Unis. Techniquement très éloigné des standards des attaques ciblées, Kraken démontre que ces attaques généralement réservées aux attaquants les plus expérimentés tendent à se démocratiser. Pour quelques centaines d’euros, il est possible d’acheter Kraken sur les marchés cybercriminels.

Utilisation de Kraken dans une attaque ciblée

Kraken a été utilisé dans au moins une attaque ciblée visant une entreprise multinationale basée aux Émirats Arabes Unis. Un email ciblé vers au moins un employé de l’entreprise intégrait ce code malveillant. Le corps de l’email traitait d’un sujet commercial : une offre pour devenir membre de l’International Trade Council de l’année. L’offre était adressée à la Philippine National Bank, et non à l’entreprise qui a reçu effectivement l’email. Cela pourrait être une astuce pour rendre le destinataire encore plus curieux à propos du document attaché, étant donné qu’il/elle ne serait pas le destinataire réel/le. La pièce jointe était un document Microsoft Word qui exploitait la vulnérabilité CVE-2012-0158 afin de déposer et d’exécuter le malware surnommé « Kraken HTTP ».

 

Analyse du code Kraken

Les analyses du G DATA SecurityLabs sur ce code montrent quelques fonctionnalités intéressantes, mais non révolutionnaires. Ainsi, le malware ne contourne pas réellement l’UAC (“User Account Control” : Contrôle du compte de l’utilisateur). Il utilise une astuce classique déjà utilisée dans beaucoup d’autres codes nuisibles : il utilise un binaire Microsoft légitime afin de s’exécuter avec les droits administrateurs. Une autre fonctionnalité consiste à éviter les détections antivirales. Pour cela, il tente de passer inaperçu aux yeux des analystes en détectant si le système sur lequel il est présent est une machine virtuelle. La présence de répertoires VMware et de certains logiciels d’analyses (Wireshark, Fiddler) bloque son déploiement.  Enfin, le Bitcoin monitor plugin fait figure de fonctionnalité gadget, mais néanmoins intéressante. Le malware contrôle le presse-papier de l’utilisateur infecté. Si celui-ci copies une adresse Bitcoin vers le presse-papier, elle sera remplacée par une adresse préconfigurée par le propriétaire du bot : l’attaquant peut alors devenir le destinataire du paiement si l’utilisateur ne porte pas attention à l’adresse collée.  Enfin, comme tout bot, ce malware dispose d’une fonctionnalité lui permettant d’installer et d’exécuter d’autres malware sur l’ordinateur infecté. Kraken n’est que la première étape et peut servir d’éclaireur.

Kraken disponible à la vente

L’analyse de Kraken montre finalement un code standard et disponible à l’achat sur le marché cybercriminel. Une personne, ne se réclamant pas être l’auteur du malware, le commercialise grâce à une bannière publicitaire publiée en décembre 2014).
Cette bannière publicitaire en dit plus sur le tarif : le programme de base est proposé à $320 et chaque plugin a un coût supplémentaire tel que $50 pour le voleur de fichier, $60 pour l’ad-clicker ou $350 pour un dispositif configurable de saisie de formulaire. Le module bitcoin monitor est quant à lui proposé à 20 $. Les méthodes de paiement acceptées sont les monnaies virtuelles courantes ainsi que les options prépayées.
 « Kraken http » est décrit dans la bannière comme un « botnet nouveau, révolutionnaire […] et accessible aux novices ». Si techniquement ce botnet n’a rien de révolutionnaire, il est vrai que les acheteurs potentiels semblent bien être les utilisateurs novices. Les captures d’écran de la console de gestion montrent une interface très graphique et « one click », à même de séduire les débutants cybercriminels.

Malware clé en main à tout faire

Les analyses montrent que « kraken http » est un code standard. De plus, son exposition sur les marchés cybercriminels et son positionnement « grand public », ne le destinent pas vraiment à des attaques ciblées. Pourtant, en plus du cas de l’attaque ciblée étudiée, d’autres campagnes d’espionnage contre le secteur énergétique ont été rapportées, spécialement contre des cibles dans les Émirats Arabes Unis.
Difficile de connaitre les raisons de cette situation. La généralisation de ces « bots à tout faire » sur le BlackMarket et leur accessibilité technique grandissante pourraient-elles ouvrir la porte des attaques ciblées au plus grand nombre ? Les attaquants ayant développé Kraken ont-ils choisi de diversifier leur activité en attaquant des intérêts particuliers ? Ou encore, les acteurs habituels de l’espionnage ont-ils délibérément choisi un malware très simple pour brouiller les pistes ?
Autant d’hypothèses qu’il conviendra d’affiner dans les futures analyses.

L’analyse complète du code Kraken http est disponible sur le G DATA SecurityBlog.

Media:

Annonce du 07. mai 2015

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr